Suricata引擎二次开发之命中规则定位

最新推荐文章于 2025-12-06 02:56:24 发布
原创 最新推荐文章于 2025-12-06 02:56:24 发布 · 1.2k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #数据库 #oracle #firefox

二开背景

suricata是一款高性能的开源网络入侵检测防御引擎,旨在检测、预防和应对网络中的恶意活动和攻击。suricata引擎使用多线程技术,能够快速、准确地分析网络流量并识别潜在的安全威胁,是众多IDS和IPS厂商的底层规则检测模块。

前段时间搭了个suricata引擎播包测试流量规则,发现原生的suricata引擎并不能获取规则匹配的位置、命中的字符串等信息。因suricata引擎并不会输出命中的信息,遂修改源码,改了命中详情(下文简称高亮)出来,今天想跟大家分享一下修改和使用的过程。

1、suricat编译安装

参考官方文档https://docs.suricata.io/en/suricata-6.0.0/install.html#install-advanced

先装库,装rust支持,装make

然后下载源码make

编译后的二进制程序在/src/.libs/suricata查看依赖库,然后补齐到默认so库目录中即可运行。

图片

2、vscode+gdb调试suricata环境搭建

然后就是装插件,除了必备的c语言插件全家桶之外还需要装GDB Debug这个插件。

接着任意新建一个运行配置。

图片

修改lauch.json为:

{
  
      // Use IntelliSense to learn about possible attributes.    // Hover to view descriptions of existing attributes.    // For more information, visit: https://go.microsoft.com/fwlink/?linkid=830387    "version": "0.2.0",    "configurations": [                {
  
              "name": "(gdb) Launch",            "type": "cppdbg",            "request": "launch",            "program": "${fileDirname}/../src/.libs/suricata",
            //以下为监听网卡模式。            // "args": [            //     "-i", "ens33", "-c", "/home/lalala/Desktop/suricata/6/suricata.yaml", "-v", "-l","/home/lalala/Desktop/suricata/6/log6/","--runmode", "single"            // ],                        //以下为读包模式。       &n
最低0.47元/天 解锁文章
盛邦安全
关注
suricata匹配从入门到精通(五)----二次开发保护规则
leeezp的博客
10-20 9万+
开源的suricata资源包是没有做加密处理,如果想要保护资源包,需要二次开发修改suricata源码。
suricata的简单探究
围城
06-26 1198
20210625- 0.引言 写过一篇文章《Suricata+ELK(Docker化部署)数据展示》,利用suricata在流量出口位置实现网络流量的事件监测。当时采用的规则,是一些开源的规则,当时使用完这些规则之后,发现误报什么的,还是挺多的。 对于suricata来说,这个软件我还是使用了非常多的,因为他本身作为一个流量处理引擎,完成的事情也挺多。所以最近就想着,能不能对他深入进行一些理解,所以在这篇文章中进行记录。 (文章属于自己阅读过程中的随感产物) 1. suricata的学习记录 本部分并没有参
二次开发suricata支持规则加解密(Centos7)
xuanyu.li的博客
02-06 1071
开源IDS/IPS产品suricata二开示例
2025年渗透测试面试题总结-拷打题库18(题目+回答)
soc的博客
04-25 930
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
Suricata监控与告警系统配置:实时检测网络威胁的最佳方案
最新发布
gitblog_00076的博客
12-06 365
Suricata是一款强大的**网络入侵检测系统**(IDS)和**入侵预防系统**(IPS),能够实时监控网络流量并检测潜在威胁。作为OISF和社区共同开发的开源安全监控引擎,它提供了完整的网络安全监控解决方案。 ## 🎯 为什么选择Suricata进行网络威胁检测? Suricata的**实时威胁检测**能力让它成为企业网络安全的首选工具: - **高性能多线程架构**:充分利用多核C
漫谈反入侵技术的二三事
si1ence安全博客
01-11 3204
安全建设的主要方向粗略的看主要也分成二个大类,安全合规与反入侵;合规的驱动力为首要业务典型类似于ISO27001、等级保护等维度。而在反入侵的方向是以保护现有业务的CIA属性为主要的出发点,以攻击者的视角审视当前的风险并加以防护与检测,相比于法律合规当中明确了各项指标与参数的checklist,反入侵的工作开展难度明显要复杂的多,面临的挑战与技术的积累也要求更高。安全工作的本质上还是攻防双方之间人与之间的对抗、攻击技术与检测技术的对抗、流程与组织架构之间的对抗。
Suricata之源代码(二)
qianligaoshan的专栏
04-11 1959
在前面我
网络入侵检测系统之Suricata(二)
诗酒趁年华
01-07 2040
Running mode Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。 Suricata有多种运行模式,这些模式与抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模
深度揭秘AF策略匹配机制:源_目的_IP_端口_服务精准控制全透视
# AF策略匹配机制的深度解析与实战演进 ...别误会,我说的可不是那种“IP+端口”一刀切的老古董规则。现代AF系统更像是一位精通心理学、行为学和语言学的特工,它不仅要看出你在做什么,还得猜出你**
Codes3D.zip启动脚本深挖:shell_bat_powershell中隐藏后门检测的6种信号
!... # 摘要 本文围绕压缩包文件Codes3D.zip中启动脚本存在的安全风险,系统分析了Shell、Batch与PowerShell三类脚本语言的执行机制及其在恶意行为中的利用方式。重点剖析了脚本自动执行链、权限提升路径及混淆反检测...
suricata 检测规则编写
xuwaiwai的博客
09-11 5824
目录 规则规则行为,根据优先级排列: 协议: 源ip,目标ip: 源端口/目标端口: 流量方向: 规则体 msg: flow流匹配: flowbits : sameip源ip、目标ip检测: content内容匹配: 不区分大小写 nocase: 偏移位置 offset: 结束位置 depth: 在xx范围外 distance : 在xx范围内 within: 有效载荷大小 dsize: pcre正则 pcre: http修饰符: fast_pattern...
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
Suricata验证测试 这些测试使用特定的配置和/或输入运行Suricata,并验证输出。 运行所有测试 在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py 或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME 添加新测试 创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到测试目录中。 它必须以“ .pcap”或“ .pcapng”结尾。 这对于基本测试就足够了,该基本测试将在pcap测试上运行Suricata,以成功完成退出代码。 可选:在测试目录中创建一个suricata.yaml。 通常只需添加启用测试功能所需的YAML位即可。 如果测试目录不包含suricata.yaml,则将使用在构建目录中找到的一个。 将所需的所有规则添加到$ {dir} /te
Suricata常用规则和入侵检测案例。
qq_39330735的博客
03-30 6562
1、Suricata是来来源于经典的NIDS系统,是一套基于网络流量的危险检测引擎,整合了IDS(Instrusion detection)、IPS(Instrusion Prevention)、NSM(Network Security Monitoring)和PCAP等功能2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段和wazuh比较类似3、、IPS功能。
suricata学习
热门推荐
wsk004321的专栏
05-12 1万+
suricata简介》
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 7647
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
网络入侵检测】基于源码分析Suricata引擎日志配置解析
不断学习,不断进步。
04-30 1037
Suricata引擎日志记录系统主要记录该引擎在启动、运行以及关闭期间应用程序的相关信息,如错误信息和其他诊断信息,但不包含 Suricata 自身生成的警报和事件。该系统设有多个日志级别,包括错误、警告、通知、信息、性能、配置和调试。
suricata 开源工具学习-规则了解
qq_41167620的博客
01-24 2032
匹配信用卡号码: pcre:"/([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2} - \d{4} /";1. TTL:匹配指定的TTL指,可使用关系运算符(< , =, >),可以用来识别操作系统类型。针对检测http流量的规则Suricata提供了http流重组能力,同时提供了用于编写HTTP流量相关的更高效的规则修饰器。2. dsize:匹配一个指定payload大小的数据包,可使用关系运算符(< , =, >)
suricata UT之SigTableSetup中关键字的功能函数解析一
村中少年的专栏
05-08 1887
介绍SigTableSetup中二进制协议字段,例如ACK,SEQ等关键字的解析,执行过程,分析了规则加载,引擎检测的主要结构
suricata中的单模匹配和多模匹配
村中少年的专栏
07-01 4087
suricata中的单模匹配和多模匹配
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值