suricata
suricata安装
依赖
apt-get install liblua5.1-dev #配置支持lua,--enable-lua
apt-get install libgeoip-dev #配置支持GeoIP,--enable-geoip
apt-get install cargo #配置支持Rust
suricata配置相关
设置EXTERNAL_NET
参数值为!$HOME_NET
会将所有没有设置在HOME_NET以外的IP当成外部网络地址对待,也可以将该值设置成any
配置点-1
libhtp.default-config.request-body-limit / libhtp.server-config..request-body-limit controls how much of the HTTP request body is tracked for inspection by the http_client_body keyword, but also used to limit file inspection. A value of 0 means unlimited.
将request/response的请求体或响应体设置得尽可能大,这两个参数用于在使用http_client_body
关键字时控制追踪的body大小,也会被用在file inspection的功能上,类似于后面提到的file Extraction
request-body-limit: 1gb
response-body-limit: 1gb
概念
默认设置下,suricata运行在IDS模式。
IDS (Intrusion Detection Systems)入侵检测系统,是一种网络安全设备或应用软件,可以对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施。
IPS(Intrusion Prevention System)入侵防御系统,是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为
suricata本身是不具备拦截功能的,想要让它拦截包需要配合iptables使用,参照章节11。