suricata 检测规则编写

已于 2022-02-17 22:43:31 修改
阅读量4.8k 收藏 13
点赞数 4
分类专栏: suricata 文章标签: 网络安全 suricata
于 2021-09-11 14:07:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuwaiwai/article/details/120236770
版权
本文深入解析Suricata网络安全工具的规则构造,包括协议、源目标IP、端口、流量方向、规则体等关键元素。重点介绍了如何通过msg、flow、content、flowbits等属性进行流量匹配和内容检测,以及如何设置阈值、引用和元数据。此外,还阐述了快速匹配模式、阀值调节和告警排除策略,帮助读者理解并定制自己的Suricata安全规则。
摘要由CSDN通过智能技术生成

 目录

规则头

规则行为,根据优先级排列:

协议:

源ip,目标ip:

源端口/目标端口:

流量方向:

规则体

msg:

flow流匹配: 

flowbits :

sameip源ip、目标ip检测:

content内容匹配:

不区分大小写 nocase:

偏移位置 offset:

结束位置 depth:

在xx范围外 distance :

在xx范围内 within:

有效载荷大小 dsize:

pcre正则  pcre:

http修饰符:

fast_pattern快速匹配模式: 

threshold阀值:

reference引用:

priority优先级:

classtype类别:

sid特征标示符:

gid组:

rev修订:

metadata元数据:

自定义一个规则



参考: https://suricata.readthedocs.io/en/latest/rules/index.html#

规则头

alert tcp $HOME_NET any -> $EXTERNAL_NET 1024:

规则行为,根据优先级排列:

        pass 如果匹配到规则后,suricata会停止扫描数据包,并跳到所有规则的末尾

        drop ips模式使用,如果匹配到之后则立即阻断数据包不会发送任何信息

        reject 对数据包主动拒绝,接受者与发送中都会收到一个拒绝包

        alert 记录所有匹配的规则并记录与匹配规则相关的数据包

协议:

        在规则中指定匹配那些协议,suricata支持的协议要比snort多一些

        TCP、UDPICMPIP(同时用与TCPUDP)、httpftpsmbdns

ip,目标ip

        支持单个ipcidrip组,[96.30.87.36,96.32.45.57],所有主机any,以及规则文件中配置 的 ip变量$HOME_NET(受保护的ip段)与$EXTERNAL_NET(其他所有ip):

源端口/目标端口:

        支持设置单个端口80,端口组[80,8080],端口范围[1024:65535]以及any任意端口,还可以在配置文件中添加端口组,通过!号来进行排除

流量方向:

        -> 单向流量,从源ip到目标ip的单项流量

        <> 双向流量,2ip往返之间的流量

规则体

(msg:"ET MALWARE Win32/HunterStealer/AlfonsoStealer CnC Exfil"; flow:established,to_server; content:"|50 4b 03 04 14 00|"; depth:6; content:"Desktop.png"; distance:0; fast_pattern; reference:md5,20f025a45247cc0289e666057149c28e; reference:md5,7f053ba33d6e4bf07a15ee65dd2b0d92; classtype:command-and-control; sid:2031198; rev:1; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, created_at 2020_11_11, deployment Perimeter, former_category MALWARE, malware_family HunterStealer, signature_severity Major, updated_at 2020_11_11;)

msg

        规则名称,规则中的第一个字段,ids告警上显示的信息

        ET MALWARE Win32/HunterStealer/AlfonsoStealer CnC Exfil  

flow流匹配: 

        flow是特定时间内具有相同数据的数据包(5元组信息)同属于一个流,suricata会将这些流量保存在内存中。

        to_client/from_server    服务器到客户端

        to_server/from_client     客户端到服务器

        established       匹配已经建立连接的(tcp则是经过3次握手之后,udp则是有双向流量)

        no_established     匹配不属于建立连接的

        only_stream    匹配由流引擎重新组装的数据包

        no_stream    不匹配流引擎重新组装的数据包

flowbits :

        flowbits 参照 链接:https://www.jianshu.com/p/2d54c0461904

        Flowbits由两部分组成。 第一部分描述要执行的操作,第二部分是flowbit的名称。

        Flowbits可以确保例如两个不同的数据包匹配时会生成警报。 只有两个数据包匹配时才会生成警报。 所以,当第二个数据包匹配时,Suricata必须知道第一个数据包是否匹配。 如果一个数据包匹配,Flowbits将标记流,Suricata会“知道”它会在第二个数据包匹配时产生警报。

        流程有不同的操作。 这些是:

        flowbits:set,name  将在流程中设置条件/'name',如果存在的话。
        flowbits:isset,name 可以在规则中使用,以确保它生成警报,当规则匹配并且条件在流中被设置时。
        flowbits:toggle,name 颠倒当前设置。 所以例如,如果一个条件设置, 它将被解除,反之亦然。
        flowbits:unset,name 可以用来取消流程中的条件。
        flowbits:isnotset,name 可以在规则中使用,以确保它生成警报,当它匹配并且条件未在流程中设置时。
        flowbits:noalert  此规则不会生成警报 

 

        当你看看第一条规则时,你会注意到,如果它匹配的话,会产生一个警告,如果它不是在规则末尾的'flowbits:noalert'。
        此规则的目的是检查“userlogin”上的匹配,并在流程中标记该匹配。 所以,没有必要产生一个警报。
        第二条规则没有第一条规则就没有效果。 如果第一条规则匹配,则流程将该特定条件设置为在流中存在。 现在用第二个规则可以检查前一个分组是否满足第一个条件。 如果第二条规则匹配,则会生成警报。

        有可能在规则中多次使用flowbits并组合不同的功能。

        

sameipip、目标ip检测

        会将流量中源ip和目标ip相同的显示出来。

        alert  ip any any -> any any (msg:"GPL SCAN same SRC/DST"; sameip;          reference:bugtraq,2666; reference:cve,1999-0016;          reference:url,www.cert.org/advisories/CA-1997-28.html; classtype:bad-unknown;          sid:2100527; rev:9; metadata:created_at 2010_09_23, updated_at 2010_09_23;)

content内容匹配:

        检测数据包中是否存在此内容,例如检测流量中是否存在Desktop.png

        如果有多个匹配项可以使用 content:"evilliveshere";   content:"here"; 这种写法,注意如果没有用内容修饰的话,ids不会按照先后顺序去匹配的,只会在内容中匹配是否包含这2个值,必须用内容修饰来调整先后顺序,用distance 0 来让第二个匹配项在第一个匹配项匹配位置之后匹配,并且如果有多个content他们的关系是and关系必须都匹配到才告警

        使用感叹号!对匹配项的否定:content:!"evilliveshere";

        将字符串的十六进制用管道符(|)进行包围:content:"|FF D8|"; 字符串与十六进制混合使用:content:"|FF |SMB|25 05 00 00 80|";  

        匹配内容区分大小写,保留字符(; \ "|)须进行转义或十六进制转码

        内容修饰,能够更加精准匹配

不区分大小写 nocase

        content:"root";nocase;    #修饰符直接在;号后面添加

偏移位置 offset

        content:"xss";offset 100;    #代表了从数据包开始位置0往后偏移100位字节后进行匹配

结束位置 depth

        content:"xss";offset 100;depth 200; #代表了匹配数据包结束的位置,如果没有offset则是从开始位置计算,有offset则是从offset开始,此次则是从100字节开始匹配到200字节内的内容。

xx范围外 distance

        本次匹配必须在上一次匹配结束位置到distance设置的偏移位置区间之外,例如content:"msg1";content:"msg2";distance:25; 如果msg1在第100行找到,那么就会在100+25后匹配msg2  

xx范围内 within

        本次匹配必须在上一次匹配结束位置之内,如果上次结束是100within 15;那么第二次匹配必须在100115之内开始匹配

        如果withindistance同时出现 content:"evilliveshere";  content:"here";  distance:1;within:7; 则匹配here  evilliveshere位置结束1-7内匹配

有效载荷大小 dsize

        dsize: >64   用来匹配payload大小,可以用来检测异常包大小

pcre正则  pcre

        content:"xss"; pcre:"xss\w"   先匹配content内容后才进行匹配pcre正则,这样的话减少系统开销

http修饰符:

        更多详细内容查看:http://suricata.readthedocs.io/en/suricata4.0.4/rules/http-keywords.html

alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET EXPLOIT Mi Router 3 Remote Code Execution CVE-2018-13023"; flow:to_server,established; http.method; content:"GET"; http.uri; content:"/cgi-bin/luci/|3b|stok="; fast_pattern; content:"&sns=sns&grant=1&guest_user_id=guid&timeout="; distance:0; reference:url,blog.securityevaluators.com/show-mi-the-vulns-exploiting-command-injection-in-mi-router-3-55c6bcb48f09; reference:cve,2018-13023; classtype:attempted-admin; sid:2030311; rev:2; metadata:affected_product Linux, attack_target IoT, created_at 2020_06_11, deployment Perimeter, former_category EXPLOIT, signature_severity Minor, updated_at 2020_06_11;)

        http.method         客户端使用的HTTP方法(GETPOST等)

        http.uri                 HTTP客户端请求的URI内容

        http.header          HTTP请求或响应头的任何内容

        http.request_body  http 客户端请求的主体内容

        http.request_line

        http.header_names  http 头字符串("Referer" "User-Agent"等)

        http.user_agent

        http.referer

        http.content_type

        http.host

        http.protocol  http版本("HTTP/1.0"

        http.content_len

        http.stat_code 服务器响应的HTTP状态字段内容

fast_pattern快速匹配模式: 

        如果suricata规则中有多个匹配项目,快速匹配的目的是设置优先级最高的匹配项,如果设置了快速匹配模式没有命中则跳过这条规则

threshold阀值:

        threshold:  type <threshold|limit|both>, track <by_src | by_dst>, count <N>, seconds <T>

        threshold 最小阀值  也就是说只有匹配到至少多少次数才进行告警

        limit 限制告警次数,例如最少5分钟内告警一次

        调节阀值主要是通过2种方法,一种是通过规则内的threshold关键字来调节,下图中类型是limit也就是限制告警次数,track  by_src代表来源ipseconds 60 每个60秒告警一次count 1

        另外一种则是通过配置文件/etc/threshold.config来进行控制,更加推荐这种方法,写在规则内部每次更新后都会替换掉。

        event_filter gen_id 1(组id, sig_id  1101111(规则id, type limit ,track by_src, count 1 ,  seconds 60

        suppress 则是告警排除,排除指定ip产生的规则告警,下图则表示如果来自217.110.97.128/25如果命中图中的规则后则不会产生告警,主要用于排除一些扫描ip

reference引用:

        连接外部信息来源,补充描述,reference:url,sf-freedom.blogspot.com/2006/07/heap-spraying-internet-exploiter.html

priority优先级:

        手动设置规则优先级别,范围1-2551最高,一般都是1-4suricata会首先检查优先级较高的规则

classtype类别:

        根据规则检测到的活动类型为规则分类,  classtype:attempted-user

sid特征标示符:

        用于唯一性规则标识,sid不能重复,0-10000000 VRT保留,20000000-29999999 Emerging保留,30000000+:公用

gid组:

        [1:2000000] 告警前面的1代表组id

rev修订:

        规则版本号,每次修改规则rev则递增1

metadata元数据:

        suricata会忽略元数据背后的语句,用于添加备注

自定义一个规则

alert  tcp any any -> any any (msg: "Http rule test!";  flow:to_server,established; http.host; content:" y.gtimg.cn"; sid:3030303; rev:1;)

 凡是过往,即为序章

杜兰特的小号
关注
专栏目录
suricata规则编写-检测ssh爆破攻击
whime
05-22 3754
步骤: 1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。 2. 编写suricata规则 3. 重放pcap包测试效果。 利用hydra和 tcpdump获取攻击流量包 在
Suricata规则编写——常用关键字
热门推荐
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字所
Suricata/Snort规则参考
HoloLens的博客
08-21 4748
Suricata/Snort规则参考 文章目录Suricata/Snort规则参考限制优势6. Suricata 规则6.1. 规则格式6.1.1. 动作(Action)6.1.2. 协议(Protocol)6.1.3. 源和目的(Source and destination)6.1.4. 端口(Source and destination)6.1.5. 方向(Direction)6.1.6. 规则选项(Rule options)6.1.6.1. 修饰器关键词(Modifier Keywords)6.1.6
Suricata 开源网络入侵检测系统(IDS)和入侵防御系统(IPS)安装和使用
最新发布
zengliguang的专栏
08-28 1032
Suricata 是一个强大的开源网络入侵检测系统(IDS)和入侵防御系统(IPS)。
Suricata规则编写
weixin_39003567的博客
03-05 2925
规则格式 Suricata规则包括以下三部分: action,action决定当signature匹配的时候会发生什么 header, 定义了协议,IP地址,端口和规则的位置 rule options, 定义规则细节 droptcp $HOME_NET any -> $EXTERNAL_NET any(msg:”ET TROJAN Likely Bot Nick in IRC (...
suricata规则编写-检测SYN-Flood攻击
whime
05-22 3523
步骤 Kali虚拟机使用hping3发起SYN泛洪攻击,伪造随机地址。 利用flags标志和threshold关键字编写规则 测试 hping3发起SYN泛洪攻击 利用Kali工具hping3 发起SYN半连接泛洪攻击 编写规则 suricata兼容snort规则 ,使用flags标志配合threshold编写规则,flags:S表示匹配SYN标志位为1的tcp包,根据dst进行跟踪,在30...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
Suricata 新建规则
sinat_41915699的博客
04-20 1208
suiricata本身就支持很多规则,但是我们也可以自定义规则。根据官方文档,主要分为以下几个步骤。 1 新建local.rules规则文件 位置可以与suricata.yaml一致,也可以放到其他地方。最简单的规则如下 alert tcp any any -> any any (msg: "mytest"; sid:20210420;) 如果要建复杂规则,那么需要根据文档自己编写,支持协议的头内容分析,也支持协议携带的数据进行分析(content关键字)。 注意:每个规则的sid都是不一样的。 2
suricata规则编写
03-28
下面是Suricata规则编写的基本步骤: 1. 确定规则的目的:规则应该明确规定要检测的行为和目的。 2. 选择匹配类型:Suricata规则支持多种匹配类型,包括内容匹配、正则表达式、IP地址、端口等。需要根据规则目的...
Suricata规则编写——数据包头部关键字
Traxer的学习之路
04-01 4275
1.简介本文介绍suricata支持的IP、TCP、ICMP三种协议的数据包头关键字,http协议由于比较常用,关键字也比较多所以后面单独介绍,而其他应用层协议暂无特定的关键字。2.IP协议关键字首先需要对IP协议有一定的了解,网际协议-维基百科,RFC 791,IPv4-维基百科。IPv4协议的格式如下: 0 1 2
Suricata规则编写——HTTP关键字
Traxer的学习之路
04-03 8535
1.简介之前的常用关键字中介绍了content以及许多修饰它的关键字,除此之外,http协议中还有一些修饰content的关键字,也是由于http协议使用量较大,关键字较多,因此单独拿出来学习。参考:HTTP协议-维基百科。2.Request和Responsehttp协议包括了http request和http response数据包。通常,由HTTP客户端发起一个request请求,创建一个到服务
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
suricata 开源工具学习-规则 关键字开发应用
qq_41167620的博客
01-22 1076
查看默认规则位置,打开suricata.yaml文件,找到rules部分,追加test.rules。这个规则的含义,数据包中存在连续ascll值http内容,且tcp首尾值10进制为104,110。suricata提供了组件式的开发方式,在SigTableSetup注册所有规则关键字。从上得出结论,每个检测关键字提供了三个检测功能,分别为数据包匹配,协议流匹配,和文件匹配。这个匹配接口实现,数据包负载部分首尾值匹配,匹配条件取决于规则中给出的首尾10进制内容。版本中使用,因为他是裁剪的所以我还是用主干。
suricata 开源工具学习-规则了解
qq_41167620的博客
01-24 1351
匹配信用卡号码: pcre:"/([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2} - \d{4} /";1. TTL:匹配指定的TTL指,可使用关系运算符(< , =, >),可以用来识别操作系统类型。针对检测http流量的规则Suricata提供了http流重组能力,同时提供了用于编写HTTP流量相关的更高效的规则修饰器。2. dsize:匹配一个指定payload大小的数据包,可使用关系运算符(< , =, >)
Suricata】03-Suricata 7.0.x 规则管理
Simo2024的博客
05-13 1194
本文介绍了Suricata开源规则库的更新、查看、启用、关闭、删除。具体规则的启用、禁用、修改、删除;以及如何在不重启suricata引擎的情况下,如何重新加载规则,给规则设置白名单等操作。
suricata
ice_rib的博客
03-26 1011
action决定当规则匹配的时候的行为。
Suricata之源代码(二)
qianligaoshan的专栏
04-11 1881
在前面我
Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)
qq_45560958的博客
09-19 1705
这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少库,不论是虚拟机上和在线的centos服务器上都报缺库,并且他们缺的库名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只做参考,实际根据你缺的库进行调整。因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值