IPS——suricata

最新推荐文章于 2024-09-17 09:16:00 发布
最新推荐文章于 2024-09-17 09:16:00 发布
阅读量898 收藏 12
点赞数 27
文章标签: 网络 服务器 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58666006/article/details/142148751
版权

NIDS——suricata   围绕着流量入侵检测系统来进行阐述,这篇文章将会介绍suricata的IPS功能,也就是入侵防御系统

一、环境配置

1、在centos7中安装iptables

        suricata的环境配置在之前的文中介绍过了,这里不再赘述。

#检查centos7是否安装了iptables

which iptables

#如果没有安装

yum -y install iptables-services

#安装成功后,关闭防火墙:firewalld

systemctl stop firewalld
systemctl disable firewalld

#启动iptables检测

systemctl start iptables

#查看iptables的配置

iptables -nL

#关闭iptables

systemctl stop iptables

2、配置iptables 

二、本机IPS

1、实验拓扑图

如下图详细的描述了iptables与suricata搭配来保护服务器的过程

2、配置iptables 

#查询centos7的网卡名(一般都是ens33)

#需要将INPUT和OUTPUT的流量都放入到队列中

iptables -I INPUT -p tcp --dport 80 -i ens33 -j NFQUEUE --queue-num 0
iptables -I OUTPUT -p tcp --sport 80 -o ens33 -j NFQUEUE --queue-num 0

#解释

  • -I INPUT: 在INPUT链的开头插入一条规则。
  • -p tcp: 匹配TCP协议的流量。
  • --dport 80: 匹配目标端口为80的流量(通常是HTTP流量)。
  • -i ens33: 匹配从接口ens33进来的流量。
  • -j NFQUEUE --queue-num 0: 将匹配到的流量发送到NFQUEUE,并将其放入队列编号为0的队列中。

作用: 这条规则会把所有从ens33接口进来的目标端口为80(HTTP)的TCP流量发送到队列0,以便在用户空间程序中进行进一步处理。


OUTPUT同理

#检测是否配置成功

iptables -nL

#启动suricata

suricata -c /etc/suricata/suricata.yaml -q 0
#与suricata -c /etc/suricata/suricata.yaml -i ens33 相比,前者从0号队列中提取流量,后者直接在网卡中提取流量,因此我这次使用前者


#验证IPS配置成功

先在启动iptables之后与suricata之前访问靶场:

然后启动suricata

再访问靶场

3、规则配置 

 在之前的文章中,我们配置的规则都是监控的,只会发出警报,只需要稍作修改就可以将警报改成丢弃:

# 404阈值预警,只是将alert修改成drop
drop http $EXTERNAL_NET any <> $HOME_NET 80 (msg:"多次404,疑似扫描"; http.stat_code; content:"404"; threshold: type threshold, track by_src, count 5, seconds 20;  sid:561003;)


测试:


#想要了解如何配置规则的请看我之前的文章
NIDS——suricata

4、注释(删除iptables规则)

#命令来查看INPUT链中的所有规则及其行号

iptables -L INPUT -v -n --line-numbers

#使用iptables -D INPUT命令删除规则

iptables -D INPUT 1

#同理接着删除OUTPUT

三、远程IPS

1、实验拓扑图

2、配置iptables

(1)端口转发

iptables -t nat -A PREROUTING -p tcp -d 192.168.164.149 --dport 8080 -j DNAT --to-destination 10.10.10.102:80
iptables -t nat -A POSTROUTING -j MASQUERADE
#完成这两条才能保证客户端能够成功与内网主机进行信息交流。
#开启转发:
echo 1 >> /proc/sys/net/ipv4/ip_forward
#开允许所有转发(先测试一下,请求192.168.164.149的流量是否能转发到10.10.10.102)
iptables -I FORWARD -j ACCEPT
#端口转发成功

(2)配置NFQ队列 

iptables -I FORWARD -j NFQUEUE --queue-num 0

#启动suricata

suricata -c /etc/suricata/suricata.yaml -q 0

有关于规则配置还是看我之前的文章,这里不过多赘述。

(3)测试 

一直转圈

Sun@happy
关注
IDS、IPS的阻断方法及绕过方法
墨痕诉清风的博客
09-07 4394
前言 近两年兴起的大型网络攻防对抗比赛以实战的方式进行,这个举措非常好,以攻促防(“talk is cheap,show me the shell”),参赛大企业会更加关注实际的安全威胁并且想办法缓解,客观上也繁荣了安全行业,一时间相关的安全服务及安全产品畅销,特别是有实时检测和阻断能力的IDS/IPS大放异彩。 于是,大企业纷纷采购部署IDS、IPS、WAF这些安全防护产品,压缩了攻击面,那就带来两个问题:1)渗透测试这个方向还有没有机会?也有渗透测试人员发的知乎热帖[1]对未来提出困惑;2)部署了I
【ClickHouse为什么这么快?】3. 正则匹配算法 re 和 hyperscan 介绍
程序员光剑
11-28 9559
一、什么是正则表达式?如何匹配特定的字符串?为了解决这个问题,定义一淘描述字符串特征的的模式, 用于查找、替换符合特征的字符串, 或者用来验证某个字符串是否符合指定的特征——这个模式就是“正则表达式”。正则表达式最初的想法源于1940年,神经生理学家Waarren McCulloch与Walter Pitts 研究出了一种用数学方式来描述神经网络的模型,他们将神经系统中的神经为元描述成小而简单的自...
Su+ELK实现网络监测(1)——Suricata安装与配置
ytraister的博客
04-11 2032
suricata安装配置文档
suricata架构——数据结构和代码流程图解
网络安全研究
11-12 6762
Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。 数据结构 流程 参考: https://suricata.readthedocs.io http://www.hyuuhit.com/categories/suricata/ https://blog.csdn.net/weixin_34253126/article/details/86442134 htt...
Suricata/Snort规则参考
HoloLens的博客
08-21 4584
Suricata/Snort规则参考 文章目录Suricata/Snort规则参考限制优势6. Suricata 规则6.1. 规则格式6.1.1. 动作(Action)6.1.2. 协议(Protocol)6.1.3. 源和目的(Source and destination)6.1.4. 端口(Source and destination)6.1.5. 方向(Direction)6.1.6. 规则选项(Rule options)6.1.6.1. 修饰器关键词(Modifier Keywords)6.1.6
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
hyper运算符_来自Intel的高性能的正则表达式匹配库——Hyperscan
weixin_39840235的博客
12-19 484
作者简介:王翔,英特尔软件工程师,负责Hyperscan研发。主要研究领域包括正则表达式匹配,深度报文检测等。感谢英特尔工程师张磊的建议和修改。阅读字数:2969| 5分钟阅读摘要Hyperscan是一款来自于Intel的高性能的正则表达式匹配库。它是基于X86平台以PCRE为原型而开发的,并以BSD许可开源在https://01.org/hyperscan。在支持PCRE的大部分语法的前提下,...
对抗中的主动防御 —— HW及小规模网络对抗的战术
systemino的博客
04-10 3617
1.序言 2016年4月,国家领导人在网络安全和信息化工作座谈会上发表重要讲话指出,“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。” 同年,《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。 自此实战化的“HW行动”成为惯例。结合四年来HW的经验,以及对近年来国内外实战对抗的总结后,我认为要想把HW和小规模网络对...
入侵检测与防御实验
qq_41392015的博客
05-27 5850
第一章 入侵检测 一、原理 入侵检测系统,简称IDC,是一种基于硬件的防火墙,通过建控以知系统漏洞,黑客入侵手法并记录下来,通过分析数据包,安全的就通过。危险的就拦截,通过日志记录可轻松追查到入侵者的IP,用于取证。 入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 1.1 什么是入侵
Java-网络
2301_81543552的博客
09-14 708
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
4.网络编程
weixin_45476535的博客
09-14 515
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 219
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
网络工程师学习笔记——网络互连与互联网
2301_77279557的博客
09-14 812
网络互连相关技术
WireShark分析localhost包
ngczx的博客
09-11 724
WireShark分析localhost包
【计算机网络 - 基础问题】每日 3 题(七)
Newin2020的博客
09-16 1058
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
拥塞控制算法为何失效,网络为何难以测量?
Netfilter
09-14 4490
所以你知道实验室仿真的宇宙第一算法为啥拉了吧,也就不用再问为什么部署了 bbr 却还不如 cubic 了吧,如果你还希望研发一个精准的,普适的端到端算法,我劝你改行去卖皮鞋,至少还有很多经理市场。这和上一篇说的测量系统容量的方法并不矛盾,因为对于网络传输系统而言,系统是动态变化的,在流量部署到系统上并开始传输时,没有全局视图,就不能指望全局公平,留下的 gap 是固有的,没法靠算法弥补。,超级经典的一篇论文,我推荐过不止一次,因此我本文不谈异构问题,说点别的,比如拓扑。对,就是要砸,因为我不干了。
网络设备登录——《路由与交换技术》实验报告
最新发布
qq_63926306的博客
09-17 1002
1.通过console端口访问路由器;2.掌握计算机与路由器、交换机的连接方法;3.理解路由器和交换机在启动过程中输出信息的含义;4.掌握网络设备的基本文件管理。(1)实验设备名称和型号版本数量描述MSR36-201略PCWindows 71安装CRT软件Console 串口线——1略第5类UTP以太网连接线——1交叉线(2)实验拓扑图(实验环境)实验前请保证路由器(交换机)的所有配置已经清空。
iptables实现内外网ip转换
m0_67475830的博客
09-13 506
准备三台虚拟机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值