流量检测
文章平均质量分 86
Traxer
这个作者很懒,什么都没留下…
展开
-
Suricata规则编写——常用关键字
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata的规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字所原创 2015-03-31 18:08:35 · 12783 阅读 · 2 评论 -
Suricata规则编写——HTTP关键字
1.简介之前的常用关键字中介绍了content以及许多修饰它的关键字,除此之外,http协议中还有一些修饰content的关键字,也是由于http协议使用量较大,关键字较多,因此单独拿出来学习。参考:HTTP协议-维基百科。2.Request和Responsehttp协议包括了http request和http response数据包。通常,由HTTP客户端发起一个request请求,创建一个到服务原创 2015-04-03 14:53:06 · 8478 阅读 · 2 评论 -
Suricata规则编写——数据包头部关键字
1.简介本文介绍suricata支持的IP、TCP、ICMP三种协议的数据包头关键字,http协议由于比较常用,关键字也比较多所以后面单独介绍,而其他应用层协议暂无特定的关键字。2.IP协议关键字首先需要对IP协议有一定的了解,网际协议-维基百科,RFC 791,IPv4-维基百科。IPv4协议的格式如下: 0 1 2原创 2015-04-01 17:26:19 · 4256 阅读 · 0 评论 -
Suricata配置文件说明1
本系列文章是Suricata官方文档的翻译加上自己对其的理解,部分图片也是来自那篇文章,当然由于初学,很多方面的理解不够透彻,随着深入后面会对本文进行一定的修正和完善。Suricata使用Yaml作为其配置文件的格式,关于Yaml可以参考YAML-维基百科。其中Suricata默认的配置文件是suricata.yaml,以硬编码的形式写在源代码中,当然也可以在执行的时候添加-c+指定位置的yaml文原创 2015-04-21 18:07:29 · 6188 阅读 · 2 评论 -
Suricata配置文件说明2
本文接上一篇配置文件说明1,是了解suricata配置文件的第二篇。threadingSuricata是一个多线程的程序,当它在拥有多核CPU的计算机上运行时会产生多线程以同时处理多个网络流量。在前一篇文章中介绍过suricata其实是有thread,thread-module和queue组成,而thread-module按照功能分为数据包获取、解码数据包和应用层流信息、检测、输出四种模块。数据包获原创 2015-04-23 14:55:27 · 6028 阅读 · 5 评论