Suricata安装与使用:常用关键字、规则BUG

最新推荐文章于 2024-08-03 18:49:17 发布
最新推荐文章于 2024-08-03 18:49:17 发布
阅读量2.3k 收藏 14
点赞数
分类专栏: 网络防御 文章标签: ids linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43778378/article/details/113096567
版权

目录

Suricata简介

Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。

实验环境

虚拟机版本信息

  • 虚拟机平台:VMware 15.5
  • 操作系统:Kali 2020.4
  • 版本信息:Linux version 5.9.0-kali1-amd64 (devel@kali.org) (gcc-10 (Debian 10.2.0-15) 10.2.0, GNU ld (GNU Binutils for Debian) 2.35.1) #1 smb Debian 5.9.1-1kali2 (2020-10-29)

Suricata版本

  • Suricata:version 6.0.1 RELEASE

Suricata安装

安装过程

根据实验所使用的环境,参考suricata官网进行安装。

命令如下:

sudo apt-get install suricata
echo "deb http://http.debian.net/debian buster-backports main" > /etc/apt/sources.list.d/backports.list
apt-get update
apt-get install suricata -t buster-backports

安装完成后可以查看一下版本信息,确认安装成功:

suricata -V

在这里插入图片描述

更新规则库

更新ET Open规则库命令如下:

sudo suricata-update

注意,suricata默认规则库的位置为:

/var/lib/suricata/rules/suricata.rules

常用规则关键字

类别关键字含义
Meta关键字msg(message)规则名称,规则中的第一个字段,ids告警上显示的信息
sid(signature ID)用于唯一规则标识,sid不能重复,0-10000000 VRT保留,20000000-29999999 Emerging保留,30000000+:公用
rev(revision)表示规则的版本,每次修改规则rev递增1
reference连接外部信息来源,补充描述。直接指向可以找到有关规则和规则试图解决的问题的信息的位置。
classtype根据规则检测到的攻击行为类型为规则分类
metadata允许在规则中添加其他非功能性信息,相当于备注,suricata会自动忽略其后内容
Payload关键字content内容匹配,检测数据包中是否存在此内容
nocase内容修饰,表示不区分大小写
offset内容修饰,表示从数据包开始位置0往后偏移多少字节后进行匹配
depth内容修饰,表示匹配数据包结束的位置
distance内容修饰,表示本次匹配必须在上一次匹配结束位置到distance设置的偏移区间之外
within内容修饰,表示本次匹配必须在上一次匹配结束位置到within设置的偏移区间之内
dsize内容修饰,表示有效载荷大小
startswith内容修饰,表示匹配内容以content开头
endswith内容修饰,表示匹配内容以content结尾
isdataat内容修饰,表示查看负载的特定部分是否仍有数据
pcre匹配特定正则表达式,优先级低于content
Prefiltering关键字fast_pattern快速匹配模式,即对这一项进行优先匹配,若没有命中则跳过本条规则。
flow关键字flow用于匹配流的方向,例如to/from客户端或to/from服务器。还可以匹配是否建立了流。

Suricata使用

在数据包所在目录下运行命令,假设数据包名为test.pcap:

suricata -r test.pcap -k none

生成四个结果文件:

在这里插入图片描述
其中,fast.log记录了包含的具体alert情况,包括时间、五元组信息、告警id和告警信息等,是我们本次重点分析的对象。eve.json则记录了告警信息、flow流信息、协议解析的信息(例如http,dns等),以及攻击的payload等。

规则BUG

关于Suricata规则中针对内容修饰关键字distance和within同时存在的情况的理解,经和同学老师交流,发现官网中给出的规则解释与实际的实现不符。

官网中解释如下:

在这里插入图片描述
实际上,within的起始位置应该是distance的结束位置。举个例子,当distance=8,within=3时,表示的含义应当如下图所示。

在这里插入图片描述

关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
Suricata规则编写——数据包头部关键字
Traxer的学习之路
04-01 4252
1.简介本文介绍suricata支持的IP、TCP、ICMP三种协议的数据包头关键字,http协议由于比较常用关键字也比较多所以后面单独介绍,而其他应用层协议暂无特定的关键字。2.IP协议关键字首先需要对IP协议有一定的了解,网际协议-维基百科,RFC 791,IPv4-维基百科。IPv4协议的格式如下: 0 1 2
Suricata规则编写——常用关键字
热门推荐
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字
CentOS7.8下安装Suricata7.0
qq_24592455的博客
06-21 775
默认情况下,会将所有规则合并到一个文件中 “/var/lib/suricata/rules/suricata.rules”。要启用默认禁用的规则,请使用 /etc/suricata/enable.conf。/var/lib/suricata:状态目录规则、数据集。/var/lib/suricata/目前是没有文件。/var/log/suricata:日志目录。/etc/suricata:配置目录。
suricata 开源工具学习-规则 关键字开发应用
qq_41167620的博客
01-22 964
查看默认规则位置,打开suricata.yaml文件,找到rules部分,追加test.rules。这个规则的含义,数据包中存在连续ascll值http内容,且tcp首尾值10进制为104,110。suricata提供了组件式的开发方式,在SigTableSetup注册所有规则关键字。从上得出结论,每个检测关键字提供了三个检测功能,分别为数据包匹配,协议流匹配,和文件匹配。这个匹配接口实现,数据包负载部分首尾值匹配,匹配条件取决于规则中给出的首尾10进制内容。版本中使用,因为他是裁剪的所以我还是用主干。
suricata: symbol lookup error: suricata: undefined symbol: htp_config_set_lzma_layers
weixin_46361294的博客
11-30 272
【代码】suricata: symbol lookup error: suricata: undefined symbol: htp_config_set_lzma_layers。
suricata安装使用
qq_43671947的博客
08-13 5836
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
Suricata规则编写——HTTP关键字
Traxer的学习之路
04-03 8443
1.简介之前的常用关键字中介绍了content以及许多修饰它的关键字,除此之外,http协议中还有一些修饰content的关键字,也是由于http协议使用量较大,关键字较多,因此单独拿出来学习。参考:HTTP协议-维基百科。2.Request和Responsehttp协议包括了http request和http response数据包。通常,由HTTP客户端发起一个request请求,创建一个到服务
Suricata安装与基本使用
最新发布
zhuge_long的专栏
08-03 301
alert http $EXTERNAL_NET any $HOME_NET 80 (msg:"多次404,疑似扫描";Suricata来源于经典的NIDS系统Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分...
suricata-update:更新您的Suricata规则的工具
04-30
用于更新您的Suricata规则的工具。 安装安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在...
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
suricata-configuration:Suricata 概述和设置说明
06-14
在 IPS 模式下运行 suricata: ./run.sh -IPS ethX 这将使用 iptables 规则将流量路由到 suricata。 要查看 http 日志,请参阅/var/log/suricata/http.log 。日志比较要比较 squid 和 suricata 的日志,请在包含 ...
docker-suricata:使用Docker在容器内的Suricata
05-24
对于高山用户:使用Docker和Docker Compose运行Suricata的4.0.4版本。 这是Suricata的即用型。 要求 主机设定 安装版本17.12.0+ 安装版本1.6.0+ 用法 初始设置 现在您可以从高山发射。 默认情况下,.env文件中的...
Linux文件与目录管理命令 ls cp rm mv使用方法
云计算课代表
08-03 479
Linux文件与目录的管理基本上包括:显示属性、复制、删除、移动文件与目录等,由于文件与目录的管理不仅重要而且操作频繁,所以本文列举一些常用的管理命令。
Linux初学基本命令
yuan20010401的博客
07-25 1271
1、rm 文件名称 删除多个文件多个目录需要用空格 删除根目录(rm -rf /*)1、touch 文件名字 用于linux创建文件 创建多个目录需要用空格隔开。2、mkdir 目录名称 用于创建文件夹 创建多个嵌套文件夹需要用/隔开。1、cp 当前文件 其他目录名称 拷贝文件夹需要在最后 -r。退出不保存时按Esc+:q!1、ls 查看当前目录下面的文件或者文件夹。2、more 文件名称 查看文件更多内容。1、mv 原文件路径 目标文件路径。退出保存时按Esc + :wq。
Linux小组件:gcc
Au_ust的博客
08-02 624
在计算机语言发展过程,人们一直都在用二进制编程。就像纸带八音盒一样,在纸带上打孔,有孔就是1,没孔就是0后来有了汇编语言, 面向机器的语言设计,他只是将机器语言做了简单编译,所以并没有根本上解决机器语言的特定性后来发明了C语言,更适合两脚兽使用的语言,但是机器又看不懂,于是就需要。
Linux】进程间通信(3):共享内存
2301_76606232的博客
07-31 784
共享内存可以说是最有用的进程间通信方式,也是最快的IPC形式。两个不同进程A、B共享内存的意思是,同一块物理内存被映射到进程A、B各自的进程地址空间,进程A可以即时看到进程B对共享内存中数据的更新,反之亦然。由于多个进程共享同一块内存区域,必然需要某种互斥与同步的机制,互斥锁和信号量都可以。
Suricata 4.0.0用户指南:全面安装规则详解
该手册涵盖了Suricata的全面使用,从基础概念到深入的规则设置和命令行选项。 第一章“什么是Suricata”介绍了Suricata作为一款强大的网络威胁检测工具,它的功能、许可证信息以及与OISF的关系。 第二章“安装”...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值