Suricata配置文件说明1

最新推荐文章于 2024-05-11 09:08:44 发布
最新推荐文章于 2024-05-11 09:08:44 发布
阅读量6.1k 收藏 10
点赞数 4
分类专栏: 流量检测 文章标签: suricata 配置文件 Yaml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyangbotianshi/article/details/45150193
版权
本文档介绍了Suricata配置文件的Yaml格式,重点关注max-pending-packets、runmodes、default-packet-size等关键配置选项。Suricata使用多线程和线程模块处理数据包,其运行方式可根据不同需求进行定制。配置还包括警告和事件输出、数据包日志等,便于监控和分析网络流量。此外,文中还提及了CUDA支持和检测引擎配置。
摘要由CSDN通过智能技术生成

本系列文章是Suricata官方文档的翻译加上自己对其的理解,部分图片也是来自那篇文章,当然由于初学,很多方面的理解不够透彻,随着深入后面会对本文进行一定的修正和完善。

Suricata使用Yaml作为其配置文件的格式,关于Yaml可以参考YAML-维基百科。其中Suricata默认的配置文件是suricata.yaml,以硬编码的形式写在源代码中,当然也可以在执行的时候添加-c+指定位置的yaml文件来自定义配置文件。配置文件的第一行内容是%YAML 1.1表示其使用了Yaml 1.1的语法。由于配置项较多,因此将分为多篇文章来进行说明,本文是第一篇。

max-pending-packets

该选项设置了suricata能够同时处理的数据包的数量,最少为1,最大值取决于内存的大小,更大的内存可以设置更大的值并拥有更好的性能,默认值是1024。但是官方文档中并没有指出其数量与内存之间的具体关系。设置格式为:

max-pending-packets: 1024

runmodes

该选项设置了suricata的运行方式,使用命令./suricata --list-runmodes可以查看所有的运行方式,部分截图如下:

这里写图片描述

在介绍运行方式(Runmodes)之前首先了解一下suricata的基本组成。Suricata是由所谓的线程(threads)、线程模块(thread-modules)和队列(queues)组成。Suricata是一个多线程的程序,因此在同一时刻会有多个线程在工作。线程模块是依据功能来划分的,比如一个模块用于解析数据包,另一个模块用于检测数据包等。每个数据包可能会有多个不同的线程进行处理,队列就是用于将数据包从一个线程传递到另一个线程。与此同时,一个线程可以拥有多个线程模块,但是在某一时刻只有一个模块在运行(原文是If they have more modules, they can only be active on a a time.看不大懂,感觉是这个意思)。

Suricata的运行方式就是上面介绍的线程(threads)、线程模块(thread-modules)和队列(queues)三种元素的不同组合方式。上图中的RunMode Type并不是配置文件中的runmodes选项,而是后面的Custom Mode也就是自定义模式才可以在此处设置。比如默认的Runmodes是autofp,在线实时检测流量的模式中其结构如下,单线程模块获取数据包和解码,多线程模块检测,单模块输出:

这里写图片描述

而在pfring模式下的autofp则有所不同,可以看到它有多个模块获取及解码数据包,通过流绑定队列分配到多个检测模块中进行检测,这应该是pfring模式获取数据包效率更高的原因:

这里写图片描述

default-packet-size

之前的max-pending-packets选项设置了最多同时处理的数据包数量,这些同时处理的数据包都是需要存储在内存中的,所以需要对每个数据包的大小进行限制,而当前选项就是做这个事的。虽然有时候可能需要检测较大的数据包,但是大部分情况下为了性能还是需要做出一定的限制。其配置方式如下,默认值是1514,这也是TCP数据包的最大长度(当数据超过这个长度便会使用TCP报文重组技术):

default-packet-size: 1514

user and group

用于设置启动suricata的用户及其分组。

action-order

action指的是每条规则匹配时需要执行的操作,比如下面这条规则执行alert警告操作:

这里写图片描述

而当前字段设置的是多条规则同时匹配的时候的执行顺序。action共有四种:pass、drop、reject、alert。

pass指的是处理的数据包匹配当前规则时直接跳过后面的所有规则,也就是说不匹配后面的规则
drop只能工作在IPS模式下,当数据包匹配到drop的规则时则会被丢弃并且产生一个警告
reject会给数据包的发送和接收端都发生一个拒绝的数据包,如果原本的协议是TCP,则发生reset数据包,否则发送ICMP错误的数据包,同时产生一个警告。在IPS模式下也会丢弃匹配到的数据包
alert则对发送和接收者都没有影响,只会生成一个警告

Suricata按照规则的出现顺序依次加载,但是处理的顺序则根据配置文件中设置的action重要程度来排列。默认的顺序如下,表示当一个数据包匹配多条规则时,优先处理的是pass的规则,其次是drop,然后是reject,最后是alert:

action-order: 
 - pass
 - drop
 - reject
 - alert

Splitting configuration in multiple files

标题并不是关键字,而是指一个配置文件可以按照功能分割成多个文件,这样后面修改某一方面的配置就可以到指定的配置文件中修改,同样可以增加可读性。配置文件通过include进行包含,比如outputs.yaml:

# outputs.yaml
- fast
    enabled: yes
    filename: fast.log
    append: yes

- unified2-alert:
    enabled: yes
...

主配置文件如下:

# suricata.yaml
...
outputs: !include outputs.yaml
...

default-log-dir

Suricata默认的日志存储目录是/var/log/suricata,在配置文件中可以通过当前选项指定,比如程序目录下的log文件夹,也可以在运行时的-l参数指定:

default-log-dir:./log

outputs

outputs选项下有很多可以输出的配置选项,包括警告、检测的数据包、产生的结果等。在配置的过程中并不需要开启每一种输出,根据自己的需求进行配置。

警告输出(fast.log)

这个日志输出由单行的警告信息组成,比如下面这个输出例子由四个警告组成:

这里写图片描述

其配置如下:

# a line based alerts log similar to Snort's fast.log
- fast:
    enabled: yes
    filename: fast.log
    append: yes

事件输出(eve.log)

Suricata可以在匹配一条规则后记录一条信息,该条信息包括数据包的时间戳、五元组信息、对应的签名信息等,默认存储在日志目录下的eve.log文件中。下面是几条典型的eve日志,这些日志是json格式的,因此很多其他的程序可以对其进行处理产生进一步的输出:

这里写图片描述

可以对其进行如下配置,输出的类型可以多种多样,包括文件、系统日志、输出到socket等,输出的内容可以包括匹配到有alert、http、dns等规则的数据包信息。简单的说比如一条规则的action是alert,检测到有一个数据包匹配

最低0.47元/天 解锁文章
Traxer
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
Suricata配置文件说明2
Traxer的学习之路
04-23 6023
本文接上一篇配置文件说明1,是了解suricata配置文件的第二篇。threadingSuricata是一个多线程的程序,当它在拥有多核CPU的计算机上运行时会产生多线程以同时处理多个网络流量。在前一篇文章中介绍过suricata其实是有thread,thread-module和queue组成,而thread-module按照功能分为数据包获取、解码数据包和应用层流信息、检测、输出四种模块。数据包获
Suricata】02-Suricata 7.0.x基础配置
最新发布
Simo2024的博客
05-11 1627
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
suricata-configuration:Suricata 概述和设置说明
06-14
Suricata 配置 安装: 运行 install.sh 来安装 suricata: ./install.sh 默认安装模式是 IDS 模式。 如果要在 IPS 模式下安装,请运行: ./install.sh -IPS 这会在/usr/bin安装 suricata,在/etc/suricata安装配置文件。 跑步: 接下来在 IDS 模式下运行 suricata: ./run.sh -IDS ethX 其中 ethx 是监控流量的接口。 在 IPS 模式下运行 suricata: ./run.sh -IPS ethX 这将使用 iptables 规则将流量路由到 suricata。 要查看 http 日志,请参阅/var/log/suricata/http.log 。 日志比较 要比较 squid 和 suricata 的日志,请在包含 suricata 日志 (
suricata配置文件内容架构详解
IAMZTDSF的博客
06-10 2375
1.vars(变量表)越具体,警报准确性和性能越好1.default-log-dir(默认日志的目录)2.Global stats configuration(全球数据的配置)stats(统计数据)interval(日志打印间隔时间)decoder-events(添加事件流作为统计)decoder-events-prefix(在统计中解码器事件前缀)stream-events(添加事件流作为统计)plugins(为每个插件共i相对想指定文件名)outputs (配置警报和其他日志的记录类型)-fast(基于
suricata关键配置项说明
我的博客
06-10 2024
suricata配置说明 文章目录suricata配置说明0x01 配置文件及日志输出简要介绍0x02 进行配置1 选择suricata守护的网段或IP2 配置日志输出器0x03 测试配置文件 0x01 配置文件及日志输出简要介绍 suricata有两个重要输入和输出文件夹,输入文件夹是配置文件夹,输出文件夹时日志文件夹。 配置文件夹的默认位置是在:/etc/suricata/,文件夹大致的结构为 $ tree -L 1 . ├── classification.config ├── classificat
Suricata-开源
07-06
在开源项目中,"desarrollo"文件夹或压缩包可能包含未发布的版本、开发分支、测试资源以及用于构建和测试Suricata说明。 总结: Suricata是一款强大的开源网络防御系统,用C语言编写,用于检测网络威胁。虽然...
suricata_open
05-08
一、所需环境 python 3.7 mysql 5.7以上 二、使用说明 1、安装python mysql 2、pip install requirements.txt ...配置文件请修改suricata\config.py文件,mysql数据库,邮件服务器,ELASTIC地址,以及suricata和pa
suricata中DPDK收发包源码分析1
每天分享一个编程小知识
05-14 604
2)source-dpdk.c在RegisterAllModules()函数中调用TmModuleReceiveDPDKRegister()和TmModuleDecodeDPDKRegister()来注册DPDK对应的收包和解码两个module,大部分代码是对这两个module提供的API函数的实现,包括收包前的初始化和收取报文,解码前的初始化和报文解码。好了,关于suricata中DPDK收发包的初始化以及框架代码的分析就到这里了。
suricata+elk+kibana+logstash安装手册.docx
08-13
最近因为工作花了两天时间原因搭了一套完整的IPS和IDS,包括suricata、kibana、elk、logstash等内容,中间遇到很多问题,我把整个搭建的过程记录了下来,给搭建分享下经验。大神绕路~
Suricata用户手册 V4.0.0
08-28
欢迎大家下载阅读,提出宝贵意见:resehist@gmail.com
suricata.yaml
05-18
suricata.yaml
Suricata-安装文档
Phantasm的博客
09-06 651
文章目录1. 安装1.1 代码下载1.2. 环境依赖1.3. 代码编译1.4. 环境配置1.5. 测试 1. 安装 suricata安装官方文档 1.1 代码下载 [taozhihao@localhost suricata]$ wget https://www.openinfosecfoundation.org/downloads/suricata-5.0.3.tar.gz [taozhihao@localhost suricata]$ tar -zxvf suricata-5.0.3.tar.gz [
Suricata安装教程
u011311291的博客
01-23 5074
1.安装必要库 (1)检查是否安装了jansson,这是Suricata输出的日志文件eve.json必备库 可参考:彻底解决Suricata Eve-log support not compiled in 问题 (2)安装pfring 2.安装Suricata https://suricata-ids.org/download/下载安装包 (1)解压安装包 tar -zxf suricata-4...
suricata的安装与使用
qq_43671947的博客
08-13 5892
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata就安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
suricata 学习使用
热门推荐
累兰羽的博客
07-06 1万+
学习使用suricata 安装suricata 查看suricata的官方文档 在下ubuntu16.04下编译安装: -必须要的依赖包: sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libn...
filestore的学习
oheven的博客
09-01 2248
1.源码读取 2.uml分析 3.代码实现
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 5056
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值