Suricata
Suricata是一个免费的、开源的网络入侵检测系统(IDS)、入侵预防系统(IPS)和网络安全监控工具。它可以对网络流量进行实时分析和检测,并提供了丰富的规则库,可用于检测各种恶意行为,例如漏洞利用、恶意软件、网络扫描等。Suricata具有高性能、多线程处理、可扩展性强等特点,适用于大规模网络环境。同时,Suricata还支持多种协议解析,包括TCP、UDP、ICMP、HTTP等,可用于对不同类型的网络流量进行深度检测和分析。
安装
1 在 CentOS/RHEL 系统上
yum -y install epel-release yum-plugin-copr
yum -y copr enable @oisf/suricata-7.0
yum -y install suricata2 在 Ubuntu/Debian 系统上
添加 Suricata 仓库(可选,但推荐使用官方仓库以获得最新版本)
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata本篇文章主要已centos 为主
-
Suricata主程序目录:/usr/sbin/suricata -
Suricata核心配置目录:/etc/suricata/ -
Suricata日志目录:/var/log/suricata/ -
Suricata附属程序目录:/usr/bin
安装完成后,运行:
/usr/sbin/suricata --build-info配置
1 配置 Suricata:Suricata的配置文件位于/etc/suricata/suricata.yaml。你可以根据需要编辑此文件,配置Suricata的规则、日志路径、接口等。
sudo vim /etc/suricata/suricata.yaml2 请仔细阅读配置文件并根据你的网络环境进行相应的配置。
# 全局配置
vars:
address-groups:
HOME_NET: "[192.168.0.0/16, 10.0.0.0/8]" 注意修改网段
# 接口配置
interfaces:
- interface: eth0 # 注意修改
enabled: yes
promisc: no
# 日志输出配置
outputs:
- fast:
enabled: yes
filename: fast.log
# 规则配置 注意与下面提到规则配置路径相对应
default-rule-path: /etc/suricata/rules
rule-files:
- suricata.rules
# 检测引擎配置
detection:
engine-analysis-frequency: 16
cluster-type: cluster_flow配置规则集
1 下载规则集(可选):Suricata使用规则集来检测网络流量中的威胁。你可以从Suricata官方网站或其他提供规则的地方下载规则。将规则文件放置在配置文件中指定的规则路径下。
1:https://rules.emergingthreats.net/open/suricata-5.0/rules/
根据你的需求下载相应的规则集,这里我们下载 emerging.rules.zip
2 下载好之后解压到
/etc/suricata/rules/rules/3 修改配置文件加载规则
1 vim /etc/suricata/suricata.yaml
2 修改default-rule-path 如下图修改为规则所在目录,可以配置多个使用
1 启动 Suricata:
suricata -c /etc/suricata/suricata.yaml -i ens192启动成功 告警暂时忽略
2 查看日志 /var/log/suricata
suricata日志文件包含了系统运行时所记录的各种事件和信息。以下是一些常见的 Suricata 日志类型及其说明:
-
eve.json: 这是 Suricata 最常用的日志格式,以 JSON 格式记录事件信息,包括网络流量、警报、HTTP 请求等。该日志文件通常用于分析网络活动和检测潜在的安全威胁。
-
http.log: 记录 HTTP 请求和响应的信息,包括请求方法、URL、来源地址、目的地址、状态码等,有助于分析 Web 流量和检测恶意活动。fast.log: 这个日志文件记录了 Suricata 检测到的快速事件,比如简单的流量匹配、流量流向等信息。
-
stats.log: 该日志文件包含有关 Suricata 运行状态和性能的统计信息,如吞吐量、警报数量、流量量等。
-
tls.log: 记录与 TLS/SSL 加密通信相关的信息,如握手过程、加密套件、证书信息等,有助于监控加密流量并检测可能的安全问题。
-
dns.log: 记录 DNS 查询和响应的信息,包括查询类型、域名、IP 地址等,有助于分析 DNS 流量和检测潜在的恶意域名。
-
suricata.log 文件是 Suricata 的运行日志,记录了 Suricata 启动、运行和关闭过程中的各种信息。这包括配置加载、规则文件处理、错误消息、警告以及其他诊断信息。
Suricata 的日志输出和详细程度可以通过编辑配置文件 suricata.yaml 中的相应部分来调整。例如,你可以启用或禁用特定类型的日志,或者调整Eve日志中记录的事件类型和详细程度。
版权声明:本站资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系客服并出示版权证明以便删除!
