suricata初体验+wireshark流量分析

最新推荐文章于 2024-06-23 21:00:00 发布
最新推荐文章于 2024-06-23 21:00:00 发布
阅读量940 收藏
点赞数
文章标签: wireshark 测试工具 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53434577/article/details/132515380
版权

目录

一、suricata介绍

1.下载安装

2.如何使用-攻击模拟

二、wireshark流量分析

1.wireshark过滤器使用

 2.wireshark其他使用

一、suricata介绍

1.下载安装

通过官网下载suricata,根据官网步骤进行安装。

官网地址:
https://documentation.wazuh.com/

 

$ sudo add-apt-repository ppa:oisf/suricata-stable
$ sudo apt-get update
$ sudo apt-get install suricata -y

$ cd /tmp/ && curl -LO https://rules.emergingthreats.net/open/suricata-6.0.8/emerging.rules.tar.gz
$ sudo tar -xvzf emerging.rules.tar.gz && sudo mv rules/*.rules /etc/suricata/rules/
$ sudo chmod 640 /etc/suricata/rules/*.rules


在/etc/suricata/suricata.yaml中进行修改配置:
HOME_NET: "<UBUNTU_IP>"  #此处为本机IP地址
EXTERNAL_NET: "any"

default-rule-path: /etc/suricata/rules
rule-files:
- "*.rules"   #此处该为可以匹配多条规则

# Global stats configuration
stats:
enabled: no  #将原本规则中的yes该为no

# Linux high speed capture support
af-packet:
  - interface: ens33  #修改本机的网卡配置

 以上配置完毕后,重启suricata。

重启:
systemctl restart suricata

 进入wazuh匹配文件,需将suricata加入,使wazuh代理可以读取suricata日志文件。

进入wazuh配置文件,/var/ossec/etc/ossec.conf
<ossec_config>
  <localfile>
    <log_format>json</log_format>
    <location>/var/log/suricata/eve.json</location>
  </localfile>
</ossec_config>

 然后重启wazuh服务。

2.如何使用-攻击模拟

直接在wazuh服务ping端点IP。

 然后查看可视化警报,可见可以检测到攻击。

使用wazuh和suricata配合可以快速的检测网络流量,扫描出攻击类型。然后进行分析流量,可以确定攻击手段,制定规则来修补漏洞。

二、wireshark流量分析

1.wireshark过滤器使用

主要分为三个区域。

抓取源IP所有数据包:ip.src == 源ip地址

筛选目的地址:ip.dst == 目的ip地址

端口筛选:tcp.dstport == 80

http请求筛选:http.request.method==GET/POST

 2.wireshark其他使用

数据包搜索:在wireshark界面按“Ctrl+F”,可以进行关键字搜索。

 数据包还原:选中想要还原的流量包,右键选中,选择追踪流 – TCP流/UPD流/SSL流/HTTP流。

 数据提取:文件->导出对象->HTTP

总结,以上为网络学习中不可缺少的工具,如何使用是关键,以上主要介绍相关工具的使用。

《^O^》杜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全系列-四十三:使用Suricata分析恶意流量pcap文件
penriver的博客
11-23 2027
本文基于[网络安全系列-三十六:使用Suricata IDS分析pcap文件]和 [网络安全系列-四十二: Suricata之rulesets的激活、更新及动态加载]的基础上,使用suricata针对包含恶意流量的pcap文件进行分析,触发事件告警,并对suricata输出的日志进行逐个分析,让你掌握针对恶意流量的分析步骤,及怎么查看suricata输出的日志。
Suricata + Wireshark离线流量日志分析
10-06
Suricata + Wireshark离线流量日志分析
自动化安全运营实操案例- 飞书 X Wazuh X 雷池WAF
最新发布
ZL_1618的博客
06-23 772
Wazuh| 一款国外的SIEM平台,可以理解为安全版的ELK,具有日志统计分析、可视化、主机监控等功能。目前github有9.2kstar,目前分为Saas版和开源版。Wazuh分为Server端以及Agent,Agent可以对服务器进行日志监控、漏洞检测、安全合规基线扫描、进程收集,集成VirusTotal接口后可具备磁盘恶意文件检测能力。本文中使用的是私有部署的开源版4.7.4,主要提供日志监控、下发指令自动处置的能力。—|—
Wazuh从入门到上线
ordersyhack
02-02 1万+
Wazuh从入门到上线
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 9951
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
Suricata规则下的威胁检测
m0_59598029的博客
08-02 695
流量对抗作为网络安全最关键、最重要的一个环节,针对流量的威胁检测显的尤为重要。同时以流量检测为支撑的安全产品层出不穷,其中XDR(拓展检测响应)目前最受欢迎。而suricata目前作为开源的优秀网络流量检测引擎,并且不断进行了持续优化更新,不仅支持多种网络协议、常见编码、HTTP细分关键字等,大大提升了对威胁检测的有效性,希望对检测响应方向有兴趣的同学可以一起交流学习。
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 4947
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
suricata+elk+kibana+logstash安装手册.docx
08-13
Suricata+ELK+kibana+logstash 安装手册是网络安全领域中构建入侵检测系统(IDS)和入侵防御系统(IPS)的关键步骤。这个文档详细介绍了如何在CentOS 7环境下设置一套完整的监控解决方案,包括 Suricata 作为核心的...
Arkime+Suricata离线文件包
08-15
Arkime+Suricata离线文件包,含arkime-3.4.2-1.x86_64.rpm、elasticsearch-oss-7.rpm、suricata-4.1.3.tar.gz、arkimeGEO.tar.gz、ipv4-address-space.csv、oui.txt。
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
wazuh
Suexiao7的博客
08-24 159
Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。Wazuh的使用场景有:入侵检测日志数据分析完整性检查漏洞检测配置评估应急响应云、容器安全等。
suricata + ELK保姆级搭建入侵检测/入侵防御01 --- suricata环境搭建
m0_49979570的博客
01-24 6575
前言 最近在整理网络安全方面的问题,服务器由于是部署在微软云的原因,所以在微软云中了解到了网络监察程序相关的内容,它使用的是suricata + ELK来进行网络流量的监察,在查找suricata的过程,我发现国内suricata方面的资源太少,以至于花了一些时间才明白是如何进行搭建的。(其实就是菜 = =|||) 本文章搭建的环境为Ubuntu OS,使用的suricata是直接使用apt install方式安装。 由于在微软云上直接看网络监察程序那页实在是没说明白,直接跟着操作会有一些问题存在,所以E
suricata规则学习记录
weixin_41038905的博客
03-08 1435
Suricata快速模式(fast_pattern)确定解释 如果在规则中明确设置了’fast_pattern’关键字,Suricata将使用它作为快速模式匹配。fast_pattern关键字只能按规则设置一次。如果未设置“fast_pattern”,Suricata会自动确定要用作快速模式匹配的内容。以下说明Suricata用于自动确定要使用的快速模式匹配的逻辑。(请注意,如果存在正(即非否定)...
Wazuh关联分析规则高级玩法
orright的专栏
10-21 1526
# 前言 上面两篇讲到Wazuh安装部署和数据接入和解码,解决了EDR的基建问题,接下来就来讲解Wazuh的规则玩法,之前就提到过 Wazuh是ossec的分支,那为啥非要用分支不用原生呢?其实问题就在于Wazuh对ossec的规则引擎进行改良和扩展,使得规则不限制于 少量且写死的字段,譬如源地址、目的地址等字段,可以进行无限制的字段扩展! 本篇不会去讲规则具体字段的使用,这个主要原因是Wazuh官方的文档写的实在是太详细了。 ## 规则类型 ### 根规则与派生规则(Parent/Child)
suricata的简介以及安装过程
qianligaoshan的专栏
04-08 6127
Suricata介绍
开源工具利器之基于网络的IDS:Suricata
黑白的博客
04-24 5230
主程序目录核心配置(suricata.yaml)日志eve.json:json格式的预警信息(类似wazuh的alert.json)fast.log:预警核心文件,只用于非结构化存储预警信息(类似wazuh的alert.log)stats.log:Suricata的统计信息suricata.log:程序运行日志。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值