使用suricata-5.0.3离线分析pcap包

最新推荐文章于 2024-05-17 09:11:51 发布
最新推荐文章于 2024-05-17 09:11:51 发布
阅读量3k 收藏 8
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43628270/article/details/107967906
版权

使用suricata-5.0.3离线分析pcap包

一、编写规则文件

/var/lib/suricata/rules/test.rules
HTTP请求返回200 OK的产生告警

alert http any any -> any any (http_response_line; content:"200 OK"; sid:1;)

二、抓取PCAP包

1、/etc/suricata/suricata.yaml添加新编写的规则文件
在这里插入图片描述
2、实时分析:/usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens33
3、curl -v www.baidu.com
在这里插入图片描述

抓包:tcpdump -s0 -i ens33 -w /tmp/http.pcap
在这里插入图片描述
4、wireshark查看包
在这里插入图片描述

5、运行日志/var/log/suricata/fast.log
:q:q:q

三、分析

/usr/bin/suricata -c /etc/suricata/suricata.yaml -r /tmp/http.pcap -k none -l /tmp/suricata/
说明:
(1)-r:pcap包位置
(2)注意加 -k none 否则分析失败
/usr/bin/suricata -c /etc/suricata/suricata.yaml -r /tmp/http.pcap -l /tmp/suricata/
12/8/2020 -- 17:18:01 - - [ERRCODE: SC_ERR_INVALID_CHECKSUM(11)] - 1/2th of packets have an invalid checksum, consider setting pcap-file.checksum-checks variable to no or use '-k none' option on command line.
(3)-l:生成的日志位置

四、运行结果

在这里插入图片描述
在这里插入图片描述
查看fast.log和之前实时分析的一致
在这里插入图片描述

前进中的程序员
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
网络安全系列-四十三:使用Suricata分析恶意流量pcap文件
penriver的博客
11-23 2010
本文基于[网络安全系列-三十六:使用Suricata IDS分析pcap文件]和 [网络安全系列-四十二: Suricata之rulesets的激活、更新及动态加载]的基础上,使用suricata针对含恶意流量的pcap文件进行分析,触发事件告警,并对suricata输出的日志进行逐个分析,让你掌握针对恶意流量的分析步骤,及怎么查看suricata输出的日志。
如何自动化的对PCAP数据进行suricata/snort/zeek分析
村中少年的专栏
06-09 1959
如何通过dalton提供的API自动化分析数据
brimcap:无缝地将pcap转换为类型丰富的zng zeek和suricata日志
04-12
帽檐 命令行实用程序,用于将pcap数据转换为灵活的,可搜索的zng数据格式,如和zq。 快速开始 。 随手准备一个pcap(或从下载示例pcap)。 运行brimcap分析: brimcap analyze sample.pcap > sample.zng 使用浏览: zq -z "zeek=count(has(_path)), alerts=count(has(event_type='alert'))" logs.zng 与Brim桌面应用程序配合使用 为了以丰富的基于ui的体验浏览数据,可以使用brimcap load命令(适用于linux,macOS和Windows的构建)将来自分析的数据自动加载到*: 运行帽沿桌面应用程序。 在pcap上执行brimcap加载: brimcap load sample.pcap *集成目前还不是很好,很快就会有更好的体验! 安装
Suricata工控规则研究_工控 suricate
最新发布
2401_84302816的博客
05-17 281
Suricata其实含的功能十分丰富,因篇幅有限,我只验证解释了关于Suricata工控方面的使用Suricata支持内嵌lua脚本,以实现自定义检测和输出脚本,支持常见数据解码,支持常见应用层协议解码,支持分析离线pcap文件和pcap文件方式存储流量数据,这些好用的功能都需要大家一点点去摸索和拓展使用Suricata规则这一块,是需要大家一点点去积累完善的,通过平时搜集的威胁情报,结合自己系统的生产环境,及时关注新爆出的安全漏洞等,自己慢慢去增加丰富规则,来使我们的安全世界更加坚固!
基于DPDK抓Suricata安装部署
lingshengxiyou的博客
04-11 569
基于DPDK抓Suricata版本只更新到4.1.4,因此对DPDK版本有要求,经过测试推荐使用 DPDK-19.11.14。由于服务器开关机会导致DPDK绑定的网卡会被默认解绑,为简化重新机械的绑定工作,通过shell脚本实现自动化DPDK绑定网卡。DPDK官网下载地址:http://fast.dpdk.org/rel/dpdk-19.11.14.tar.gz。7 [root@ids-dpdk ~]# ls /usr/src/kernels/ #查看有没有相应的内核开发
Suricata高性能配置
u011311291的博客
03-05 6354
一.Suricata的规则检测 1.为了高性能,将规则按照一定算法分很多组(例如如果出现带有UDP协议的数据,则不需要TCP协议的所有签名) 2.更多的分组有用更高的性能,但占用更多的内存,默认配置选项 detect: profile: medium custom-values: toclient-groups: 2 toserver-groups: 25 sgh...
网络安全系列-三十六:使用Suricata IDS分析pcap文件
penriver的博客
11-07 1196
Suricata是一款高性能、开源的网络分析和威胁检测软件. Suricata(稳定)版本为6.0.8;该版本于2022年9月27日发布。 本文讲解如何使用Suricata IDS分析pcap文件,并针对分析的结果进行分析
suricata-5.0.3源码
07-30
Suricata是一款强大的开源入侵检测系统(IDS)和入侵防御系统(IPS),...综上所述,Suricata 5.0.3源码为用户提供了一种强大且灵活的网络安全工具,它能够在CentOS 7环境下稳定运行,为企业级网络安全提供可靠保障。
Suricata + Wireshark离线流量日志分析
10-06
离线流量分析场景下,Wireshark可以打开由Suricata或其他数据捕获工具生成的.pcap文件,进一步进行深度分析。用户可以通过过滤器快速定位感兴趣的数据,查看特定主机或服务的通信,分析异常行为,或者检查特定...
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
运行所有测试在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME添加新测试创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到...
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
dalton:Suricata和Snort IDS规则和pcap测试系统
05-13
道尔顿 Dalton是一个系统,该系统允许用户使用定义的规则集和/或定制规则针对自己选择的入侵检测系统(“ IDS”)传感器(例如Snort,Suricata)快速轻松地运行网络数据捕获(“ pcaps”)。 道尔顿还为提供了一个类似于向导的Web界面,以方便自定义pcap的创建。 快速入门: ./start-dalton.sh 或做同样的事情: docker-compose build && docker-compose up -d 然后导航到http://<docker>/dalton/ 要配置可用的规则集,请参阅。 要配置可用的传感器,请参阅。 如果要在代理之后进行构建,请参阅 内容 Suricata套接字控制模式 作业设定 配置文件 工作结果 作业队列 感测器 道尔顿API 作业API 控制器API 茶壶工作 添加规则集 添加传感器 Docker传感
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
DPDK_SURICATA-4_1_4 从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据进入SURICATA处理流水线模式。 要做的事 将数据缓冲区展平为完全零复制...
Su+ELK实现网络监测(1)——Suricata安装与配置
ytraister的博客
04-11 1908
suricata安装配置文档
网络报文分析工具的使用 - 跟小智一起学网络(4)
每天分享一个编程小知识
11-28 3108
前言 哈喽,小伙伴们,大家好,我是小智。 在后面的网络知识学习中,都离不开对数据报文的分析。俗话说,工欲善其事,必先利其器。掌握网络分析工具的基本使用,对我们后面的学习会起到事半功倍的效果。 网络世界中的数据报文(我们也叫它数据)看不见摸不着,但是通过 Wireshark 这款软件,我们不仅可以抓取到报文,而且还可以详细分析报文的每个字段。 这个章节含的内容如下: tcpdump的安装 由于前面安装的 CentOS 没有图形化界面,所以在 CentOS 里面不能直接使用 Wireshark 抓,我们
Suricata安装与使用:常用关键字、规则BUG
weixin_43778378的博客
01-24 2294
目录Suricata简介实验环境虚拟机版本信息Suricata版本Suricata安装安装过程更新规则库常用规则关键字Suricata使用补充说明 Suricata简介 Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。 实验环境 虚拟机版本信息 虚拟机平台:VMw
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 4787
构造rpm及其依赖的离线安装环境 离线安装suricata离线更新suricata规则,使用suricata离线检查pcap
使用suricata和bro分析pcap文件
kaixue123的博客
12-31 3031
使用suricata和bro分析pcap文件 作者没有在自己电脑上安装这两个软件,而是直接通过学校的服务器来使用suricata和bro的(这里推荐远程连接工具MobaXterm,比xshell好用太多),也是黑瞎子摸鱼,啥也不会,然后看suricata和bro的文档看到吐,下面的步骤比较简单,但对于当时零起步的我来说也是费了好大功夫(菜菜菜的,捂脸)~~~ 1.pcap的来源: 1)从wire...
Suricata」Using Pcap capture with GRO or LRO activated can lead to capture problems
鱼的博客
10-16 158
Using Pcap capture with GRO or LRO activated can lead to capture problems This means you have some network offloading active on your NIC, you should turn it off, for more details see NIC-offloading LRO(Large Receive Offload),通过将接收到的多个TCP数据聚合成一个大的数据,然后传递给网
如何使用suricata6.0.9从pcap文件提取规则
03-31
1. 安装suricata6.0.9: 在Linux系统中,可以使用以下命令安装suricata6.0.9: ``` sudo apt-get update sudo apt-get install suricata ``` 2. 创建suricata规则: 在安装完成后,可以使用以下命令创建suricata规则: ``` sudo suricata-update sudo suricata-update enable-source oisf/trafficid sudo suricata-update update oisf/trafficid ``` 3. 从pcap文件提取规则: 使用以下命令从pcap文件提取规则: ``` sudo suricata -r pcap_file.pcap -S extracted_rules.rules ``` 其中,pcap_file.pcappcap文件的路径,extracted_rules.rules是提取出的规则文件的路径。 4. 检查提取出的规则: 可以使用以下命令检查提取出的规则是否存在问题: ``` sudo suricata -T -c extracted_rules.rules ``` 如果规则没有问题,将会输出“OK”。 5. 使用提取出的规则: 使用以下命令启动suricata使用提取出的规则: ``` sudo suricata -c extracted_rules.rules -r pcap_file.pcap ``` 其中,-c参数指定使用的规则文件,-r参数指定要检测的pcap文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值