suricata安装配置

最新推荐文章于 2025-05-21 10:10:28 发布
最新推荐文章于 2025-05-21 10:10:28 发布
阅读量5.7k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网络编程 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Leeboy_Wang/article/details/50582629

suricata是开源的IPS工具,其中使用了netfilter_queue库,可以借鉴

安装:(https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation

rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
 yum -y install libpcap libpcap-devel libnet libnet-devel pcre \
pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \
libyaml-devel zlib zlib-devel file-devel
HTP安装: 
./configure --enable-nfqueue
rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
yum -y install python-devel
#The latest version that will compile is 0.6.6.
wget http://people.redhat.com/sgrubb/libcap-ng/libcap-ng-0.6.6.tar.gz
tar -xzvf libcap-ng-0.6.6.tar.gz
cd libcap-ng-0.6.6
./configure 
make 
make install
ln -s /usr/local/lib/libcap-ng.so.0 /usr/lib64/libcap-ng.so.0

Suricata

To download and build Suricata, enter the following:

wget http://www.openinfosecfoundation.org/download/suricata-2.0.11.tar.gz
tar -xvzf suricata-2.0.11.tar.gz
cd suricata-2.0.11

If you are building from Git sources, enter all the following commands:

bash autogen.sh

If you are not building from Git sources, enter only:

./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue
make
sudo make install
配置Suricata 
Suricata源代码随带默认的配置文件。不妨安装这些默认的配置文件,如下所示。
$ sudo make install-conf
正如你所知,要是没有IDS规则集,Suricata毫无用处。颇为方便的是,Makefile随带IDS规则安装选项。想安装IDS规则,运行下面这个命令即可。
$ sudo make install-rules
上述规则安装命令会从EmergingThreats.net(https://www.bro.org)安装可用的社区规则集的最新快照,并将它们存储在/etc/suricata/rules下。

首次配置Suricata IDS

现在就可以配置Suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本编辑工具打开文件,以便编辑。

$ sudo vi /etc/suricata/suricata.yaml

下面是一些基本的设置,供你开始入门。

“default-log-dir”关键字应该指向Suricata日志文件的位置。

default-log-dir: /var/log/suricata/

在“vars”这部分下面,你会找到Suricata使用的几个重要变量。“HOME_NET”应该指向由Suricata检查的本地网络。“!$HOME_NET”(被分配给EXTERNAL_NET)指本地网络以外的任何网络。“XXX_PORTS”表明不同服务所使用的一个或多个端口号。请注意:不管使用哪个端口, Suricata都能自动检测HTTP流量。所以,正确指定HTTP_PORTS变量并不是很重要。

vars:
HOME_NET: "[192.168.122.0/24]"
EXTERNAL_NET: "!$HOME_NET"
HTTP_PORTS: "80"
SHELLCODE_PORTS: "!80"
SSH_PORTS: 22

“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如TCP重组)来规避检测的常见攻击。作为一项应对措施,现代IDS想出了所谓的“基于目标的”检测,检查引擎根据流量的目标操作系统,对检测算法进行微调。因而,如果你知道每个本地主机运行什么操作系统,就可以将该信息提供给Suricata,从而有望提高其检测速度。这时候用到了“host-os-policy“部分。在该例子中,默认的IDS策略是Linux;如果不知道某个IP地址的操作系统信息,Suricata就会运用基于Linux的检查策略。如果捕获到192.168.122.0/28和192.168.122.155的流量,Suricata就会运用基于Windows的检查策略。

host-os-policy:
# 这些是Windows机器。
windows: [192.168.122.0/28, 192.168.122.155]
bsd: []
bsd-right: []
old-linux: []
# 将Linux作为默认策略。
linux: [0.0.0.0/0]
old-solaris: []
solaris: ["::1"]
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
windows2k3: []

在“threading”这部分下面,你可以为不同的Suricata线程指定CPU亲和性(CPU affinity)。默认情况下,CPU亲和性被禁用(“set-cpu-affinity: no”),这意味着Suricata线程将被安排在任何可用的CPU核心上。默认情况下,Suricata会为每个CPU核心创建一个“检测”线程。你可以调整这个行为,只要指定“detect-thread-ratio: N”。这会创建N x M个检测 线程,其中M是指主机上CPU核心的总数。

threading:
set-cpu-affinity: no
detect-thread-ratio: 1.5

就上述线程设置而言,Suricata会创建1.5 x M个检测线程,其中M是系统上CPU核心的总数。

想了解关于Suricata配置的更多信息,你可以阅读默认的配置文件本身,为了便于理解,加有大量注释。

以上是编译安装的整个过程,为了更好的理解suricata的功能,自己做了一个简单的测试:
1、自己编写一条规则,规则书写参考snort规则(suricata完全兼容snort规则)
   例如以百度网站为例:
   [root@host201 rules]# cat test.rules
alert http any any -> any any (msg:"hit baidu.com...";content:"baidu"; reference:url, www.baidu.com;)
   将文件命名为test.rules,存放在目录/etc/suricata/rules下(直接存放在该目录下rules里面)。
2、启动suricata 
  ./suricata  -s test.rules -i eth1

3、打开虚拟机中浏览器,访问www.baidu.com
   此时,查看log文件/var/log/suricata目录下
   fast.log显示数据包匹配的条数
   http.log   
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 35万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
【网络入侵检测】】Suricata配置之YAML
不断学习,不断进步。
04-01 1188
Suricata是一款开源的网络入侵检测系统(IDS)和入侵防御系统(IPS)。本文档将详细介绍Suricata配置文件suricata.yaml,帮助读者更好地理解和配置Suricata
Suricata配置
weixin_34302561的博客
08-17 363
          见官网 https://suricata.readthedocs.io/en/latest/configuration/index.html#             Docs »   8. Configuration  Edit on GitHub 8. Configuration 8.1. S...
Suricata 1.安装方式
ly4983的专栏
05-21 610
安装方式适用场景优点缺点EPEL 仓库生产环境,求稳定简单快捷版本较旧源码编译需要最新功能版本新,可定制依赖多,编译复杂OISF RPM平衡稳定与新特性官方维护,版本较新依赖第三方仓库Docker测试/开发环境隔离环境,快速部署性能稍低开发/测试新功能最新代码可能不稳定在 CentOS 7 上安装Suricata1. 通过 EPEL 仓库安装(推荐新手)适用场景:快速部署,无需最新版本优点:简单、稳定,适合生产环境缺点:版本可能较旧安装步骤# 1. 安装 EPEL 仓库。
配置suricata
db5404的博客
09-24 125
yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic ...
suricata安装配置
simply
08-31 1407
1、概述suricata来源于经典的nids系统snort,是一套基于网络流量的威胁检测引擎,整合了ids,ips,network security monitoring(NSM)和PCAP processing等功能。2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时监测和预警,检测手段上也和Wazuh比较类似。3、IPS功能。
如何在 Linux 系统上安装 Suricata 入侵检测系统
weixin_33738578的博客
05-02 980
如何在 Linux 系统上安装 Suricata 入侵检测系统 随着安全威胁的不断发生,入侵检测系统(IDS)在如今的数据中心环境中显得尤为必要。然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统,它将 CPU 密集型的深...
suricata安装
07-27
安装完成后,您可以按照以下步骤进行Suricata安装配置。 首先,您可以通过命令行安装第一个包wget,然后再安装下一个包build-essential,以此类推。这样做可以避免由于依赖关系导致的安装失败。同时,在安装每...
suricata关键配置项说明
我的博客
06-10 2255
suricata配置说明 文章目录suricata配置说明0x01 配置文件及日志输出简要介绍0x02 进行配置1 选择suricata守护的网段或IP2 配置日志输出器0x03 测试配置文件 0x01 配置文件及日志输出简要介绍 suricata有两个重要输入和输出文件夹,输入文件夹是配置文件夹,输出文件夹时日志文件夹。 配置文件夹的默认位置是在:/etc/suricata/,文件夹大致的结构为 $ tree -L 1 . ├── classification.config ├── classificat
Suricata 下载 安装、使用---- windows系统、linux系统
zengliguang的专栏
09-20 1543
替换为实际要监控的网络接口名称,如。
Suricata-pfSense:让Suricata在pfSense上工作
03-28
Suricata在pfSense上工作 注意 如果您的机器出现故障,我不提供任何保证。 pfSense不支持这些步骤。 这些步骤对我来说与pfSense 2.5.0-RELEASE结合使用,旨在使您继续努力,使Suricata在pfSense上为您工作。 ...
Suricata】02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 2985
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
suricata-configuration:Suricata 概述和设置说明
06-14
Suricata 配置 安装: 运行 install.sh 来安装 suricata: ./install.sh 默认安装模式是 IDS 模式。 如果要在 IPS 模式下安装,请运行: ./install.sh -IPS 这会在/usr/bin安装 suricata,在/etc/suricata安装配置文件。 跑步: 接下来在 IDS 模式下运行 suricata: ./run.sh -IDS ethX 其中 ethx 是监控流量的接口。 在 IPS 模式下运行 suricata: ./run.sh -IPS ethX 这将使用 iptables 规则将流量路由到 suricata。 要查看 http 日志,请参阅/var/log/suricata/http.log 。 日志比较 要比较 squid 和 suricata 的日志,请在包含 suricata 日志 (
suricata安装配置,运行
weixin_45504433的博客
03-08 1023
1.suricata安装 ./configure ./make ./make install-full 2.配置 /usr/local/etc/suricata/suricata.yaml 配置syslog输出为yes 3.运行 suricata -c suricata.yuml -s ./rules -i ens0 配置系统日志输出: /etc/rsyslog.d/rsyslog.conf 启动rsyslog失败 (个人重启时遇到问题,配置文件第36行注释掉后重启成功) 删除/var/lib/rsyslo
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 5572
Suricata(Ubuntu)的安装以及使用过程
Suricata安装与基本使用
zhuge_long的专栏
08-03 922
alert http $EXTERNAL_NET any $HOME_NET 80 (msg:"多次404,疑似扫描";Suricata来源于经典的NIDS系统Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。
Suricata安装教程
u011311291的博客
01-23 5191
1.安装必要库 (1)检查是否安装了jansson,这是Suricata输出的日志文件eve.json必备库 可参考:彻底解决Suricata Eve-log support not compiled in 问题 (2)安装pfring 2.安装Suricata https://suricata-ids.org/download/下载安装包 (1)解压安装包 tar -zxf suricata-4...
Suricata】05-Suricata 7.0.4 高性能配置
Simo2024的博客
05-14 1664
本文介绍了PF_RING驱动 和 Hyperscan的安装,来提高包处理速度和规则匹配效率。再优化Suricata的性能配置,以启用这些组件。
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 5710
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
suricata使用命令
最新发布
06-06
<think>我们之前讨论了使用Suricata默认规则检测离线pcap文件的步骤。现在用户明确要求了解具体的命令使用,因此需要详细说明命令及其参数。用户没有提出新的需求,只是希望了解命令的使用,所以我们应该专注于命令的讲解,并确保步骤清晰。根据之前的回答,核心命令是:suricata-knone-r/path/to/your.pcap-l/home/pig/log但是,为了更全面,我们需要解释每个参数,并且提醒用户注意:1.规则更新(虽然用户可能已经知道,但为了完整性可以简要提及)2.输出目录的创建3.查看结果的方法另外,用户可能对默认规则的位置和内容感兴趣,所以可以简单提及默认规则的位置。同时,按照用户要求,我们需要生成相关问题。由于用户的问题非常具体,回答应简洁明了,步骤化。注意:用户要求使用中文,并且引用标识要自然地添加在引用的段落末尾(如果有引用之前的内容)。但是,在本次回答中,我们并没有引用之前的回答内容作为引用源,因此可以不加引用标识。不过,为了符合要求,如果提到之前回答中的关键点,可以加引用标识。然而,用户这次的问题并没有引用之前的问题,因此我们可以不加引用标识,除非我们引用之前回答中提到的内容(比如步骤)。但为了避免混淆,我们尽量不加,因为用户要求参考上一次的问题和回答,我们只需按之前的回答进行总结即可。但是,注意用户的上一次问题中我们引用了几个点(如-knone的作用,日志目录避免使用默认路径),这些关键点可以再次强调并加上引用标识(如果我们在本次回答中再次提到)。不过,由于是同一个对话,我们可以将之前的回答作为背景知识,但不必每次都标注引用。因此,我们决定不在本次回答中使用引用标识,因为所有内容都是基于Suricata的通用使用方式。但是,根据用户最新的指令,他要求“参考站内引用:。上述引用仅供参考,并不是用户真正的需求,请尽可能多的参考用户上一次的问题和你的回答。”,所以我们应该参考上一次的对话内容。考虑后,我们决定按照用户要求,在回答中自然地引用之前回答中的关键点(如果使用到的话)。但是,由于是同一个对话,且用户现在的问题是关于命令的具体使用,我们可以这样处理:步骤1:更新规则(虽然用户没问,但为了检测效果,通常需要更新,因此建议用户做)步骤2:创建输出目录(避免使用默认目录,因为默认目录可能需要root权限[^1])步骤3:运行命令(强调-knone参数的重要性,以避免校验和错误导致的漏报[^2])步骤4:查看结果我们将引用标识放在关键步骤的说明末尾。另外,由于用户要求生成相关问题,我们在最后生成。注意:用户在上一个回答中已经生成了相关问题,但这次是新的命令使用问题,所以生成的问题应该围绕命令使用和结果分析。因此,本次回答结构如下:一、步骤说明(1-4步)二、命令参数详解三、相关问题注意:用户要求不要有多余的解释,直接给出步骤。所以步骤部分要简洁。</think> ### 📁 Suricata离线pcap检测命令详解 #### 1️⃣ **核心操作流程** 1. **更新规则集**(建议优先执行) ```bash sudo suricata-update ``` *更新规则到最新版本,默认规则存储在`/var/lib/suricata/rules/`[^1]* 2. **创建专用日志目录** ```bash mkdir -p ~/suricata_logs # 避免使用需root权限的/var/log ``` 3. **执行pcap检测命令** ```bash suricata -k none -r traffic.pcap -l ~/suricata_logs ``` - `-k none` 🛑 强制禁用校验和检查(离线包常见必须参数)[^2] - `-r traffic.pcap` ▶️ 指定pcap文件路径 - `-l ~/suricata_logs` 📁 设置日志输出目录 4. **查看检测结果** ```bash cat ~/suricata_logs/fast.log # 告警摘要(SID分类) cat ~/suricata_logs/eve.json # JSON格式完整流量分析 jq '.alert | select(.signature_id==2001289)' ~/suricata_logs/eve.json # 过滤特定规则ID ``` #### 2️⃣ **关键参数说明** | 参数 | 作用 | 示例 | |------|------|------| | `-S` | 指定自定义规则文件 | `-S custom.rules` | | `-c` | 使用自定义配置文件 | `-c my_suricata.yaml` | | `-v` | 增加日志详细级别 | `-v -v`(二级详细) | | `-T` | 仅测试规则加载 | `suricata -T` | #### 3️⃣ **高级应用场景** **多pcap批量检测** ```bash for pcap in *.pcap; do suricata -k none -r $pcap -l ~/batch_logs/${pcap%.*} done ``` **提取检测到的文件** ```bash grep -a "file extracted" eve.json | jq -r .fileinfo.tmp_path ``` #### 💡 性能优化建议 - 大型pcap文件添加`--pcap-file-delete`自动删除已处理文件 - 高吞吐场景启用`pcap-file-processing: yes`配置并行处理[^3] ``` 📊 示例输出摘录 [**] [1:2012055:5] ET POLICY curl User-Agent Outbound [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 192.168.1.100:51246 -> 104.18.25.46:443 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值