【Suricata】05-Suricata 7.0.4 高性能配置

最新推荐文章于 2025-04-21 17:14:12 发布
最新推荐文章于 2025-04-21 17:14:12 发布
阅读量1.5k 收藏 16
点赞数 38
CC 4.0 BY-SA版权
分类专栏: Suricata流量检测 文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Simo2024/article/details/138836073
本文详细介绍了如何在Linux环境下配置Suricata以实现高性能,包括硬件配置、监听网口设置、安装PF_RING、Hyperscan以及Suricata的高性能配置。特别强调了PF_RING的透明模式、内核模块安装和Suricata的规则检测、运行模式和线程配置,旨在提高数据包处理效率和性能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1. 硬件配置

2. 监听网口配置

2.1 开启混杂模式

2.2 禁掉不必要的功能

2.3 禁用IPv6(可选)

3. 安装PF_RING

3.1 PF_RING透明模式

3.2 安装PF_RING

3.2.1 下载pf_ring

3.2.3 编译

3.2.4 安装pf_ring内核模块

3.2.5 安装并加载pf_ring模块和透明模式驱动

3.2.6 Libpfring和Libpcap安装

3.2.7 测试

4. 安装Hyperscan

4.1 安装hyperscan

4.1.1 二进制包安装hyperscan

4.1.2 源码安装(未成功)

4.1.2.1 安装依赖包

4.1.2.2 下载hyperscan

4.1.2.3 编译安装hyperscan

4.1.2.4 更新动态库路径

5. 源码安装suricata

6. Suricata高性能配置

6.1 suricata对包的规则检测

6.2 suricata运行模式和线程

6.3 max-pending-packets配置

6.4 IP分片重组

6.5 suricata的flow

6.6 stream引擎

6.7 应用层解析配置

6.8 Dns,flow信息异常原因

6.9 高性能下suricata启动的配置

6.9.1 原始的开启方式

6.9.2 高性能配置

6.9.3 suricata监控脚本

1. 硬件配置

CPU: Intel(R) Xeon(R) CPU E5-2620 v3 @ 2.40GHz

内存:32GB

网卡

  • 管理口:千兆网卡
  • 监听扣:Intel X520 万兆光网卡

系统:Debian GNU/Linux 12 (bookworm)

内核版本:6.1.0-18-amd64

Suricata版本:7.0.4

2. 监听网口配置

2.1 开启混杂模式

vim /etc/network/interfaces
# 开机自动挂载
auto ens1f0
iface ens1f0 inet manual

# 当接口被激活时,关闭arp,并激活该接口,即分配一个无IP的接口
up ifconfig ens1f0 -arp up

# 网卡激活时开启混杂模式
up ip link set ens1f0 promisc on
# 网口关闭时,关闭混杂模式
down ip link set ens1f0 promisc off
# 网口关闭时,确保网口被完全关闭
down ifconfig ens1f0 down

2.2 禁掉不必要的功能

不适用,虽然不影响suricata的检测功能,但是会影响数据包的处理速度。

# post-up for i in rx tx sg tso ufo gso gro lro; do ethtool -K $IFACE $i off; done

2.3 禁用IPv6(可选)

post-up echo 1 > /proc/sys/net/ipv6/conf/$IFACE/disable_ipv6                

/etc/init.d/networking restart

3. 安装PF_RING

pfring是一种加速处理数据包的实现方法,可以比较有效地提升网卡获取和发送数据包的速度。PF_RIN是一个Linux内核模块和用户空间框架,它允许您以高速率处理数据包,同时为数据包处理应用程序提供一致的API。

3.1 PF_RING透明模式

PF_RING是为增强数据包捕获性能而设计的。这意味着必须加速RX路径,特别是通过减少数据包从适配器到用户域的旅程来加速这一过程。这是通过允许驱动程序直接将数据包从NIC推到PF_RING来获得的,而不是通过通常的内核路径。出于这个原因,PF_RING引入了一个名为“透明模式”的选项,其目标是优化数据包如何从NIC移动到PF_RING。这个选项(可以在通过insmod插入PF_RING模块时指定)可以有三个:

1)insmod pf_ring.ko transparent_mode=0

这是默认值,这意味着数据包通过标准内核机制发送到PF_RING。即不需要安装任何驱动,利用Linux接口接受报文,任何驱动都能使用该模式

在这种设置中,数据包既被发送到PF_RING,也被发送到所有其他内核组件。所有网卡驱动均支持该模式。

2)insmod pf_ring.ko transparent_mode=1

在这种模式下,数据包直接由网卡驱动发送到PF_RING,数据包仍然传播到其他内核组件。即需要安装驱动

在这种模式下,数据包捕获加速,因为数据包被NIC驱动程序复制而不经过通常的内核路径。

  • 为了启用这种模式,必须使用支持PF_RING的网卡驱动程序。可用的启用PF_RING的驱动程序可以在PF_RING的drivers/目录中找到。

3)insmod pf_ring.ko transparent_mode=2

在这种模式下,数据包直接由网卡驱动发送到PF_RING,数据包不会传播到其他内核组件,因为这会减慢数据包捕获。即需要安装驱动, pfring以外程序抓不到数据包

  • 为了启用这种模式,您必须使用支持PF_RING的网卡驱动程序。
  • 数据包在被传递到PF_RING之后不会被发送到内核。这意味着您将无法从pf_ring驱动的网卡获得连接。
  • 这种模式是最快的,因为数据包被快速复制到PF_RING中,处理后立即被丢弃。

后两种模式需要使用PF_RING特殊定制的网卡驱动:pf_ring.ko

3.2 安装PF_RING

3.2.1 下载pf_ring

git clone https://github.com/ntop/PF_RING.git

3.2.3 编译

root@ndr:~# cd PF_RING
root@ndr:~/PF_RING# make   //直接在PF_RING根目录下面make,进行全部编译
# 报错了
configure: error: unable to find nl-genl-3 please install libnl-genl-3-dev
make[1]: *** [Makefile:7: lib/Makefile] Error 1
make[1]: Leaving directory '/root/PF_RING/userland'
make: *** [Makefile:3: all] Error 2

报错提示:配置脚本 configure 无法找到 nl-genl-3,也就是 libnl-genl-3-dev 开发库。

安装libnl-genl-3-dev

sudo apt-get update  
sudo apt-get install libnl-genl-3-dev

再次编译:

make clean  # 清理之前编译产生的文件 
make  # 编译

又报错了:

config.status: creating lib/config.h
make[1]: Entering directory '/root/PF_RING/userland'
cd lib; make
make[2]: Entering directory '/root/PF_RING/userland/lib'
make -C ../nbpf
make[3]: Entering directory '/root/PF_RING/userland/nbpf'
gcc -Wall -fPIC -O2 -I../lib -I../../kernel  -Wno-address-of-packed-member   -c -o nbpf_mod_rdif.o nbpf_mod_rdif.c
gcc -Wall -fPIC -O2 -I../lib -I../../kernel  -Wno-address-of-packed-member   -c -o rules.o rules.c
gcc -Wall -fPIC -O2 -I../lib -I../../kernel  -Wno-address-of-packed-member   -c -o tree_match.o tree_match.c
gcc -Wall -fPIC -O2 -I../lib -I../../kernel  -Wno-address-of-packed-member   -c -o parser.o parser.c
bison -d grammar.y
make[3]: bison: No such file or directory
make[3]: *** [Makefile:28: grammar.tab.c] Error 127
make[3]: Leaving directory '/root/PF_RING/userland/nbpf'
make[2]: *** [Makefile:152: ../nbpf/libnbpf.a] Error 2
make[2]: Leaving directory '/root/PF_RING/userland/lib'
make[1]: *** [Makefile:12: libpfring] Error 2
make[1]: Leaving directory '/root/PF_RING/userland'
make: *** [Makefile:3: all] Error 2

错误信息指出在编译 PF_RING 的过程中,bison 这个工具没有被找到。

bison 是一个用来将语法分析器生成器(如 .y 文件)转换成 C 语言的工具。PF_RING 的编译过程需要bison 来生成一些源代码文件。

安装bison:

sudo apt-get update  
sudo apt-get install bison

再次编译,又报错了:

config.status: lib/config.h is unchanged
make[1]: Entering directory '/root/PF_RING/userland'
cd lib; make
make[2]: Entering directory '/root/PF_RING/userland/lib'
make -C ../nbpf
make[3]: Entering directory '/root/PF_RING/userland/nbpf'
bison -d grammar.y
lex scanner.l
make[3]: lex: No such file or directory
make[3]: *** [Makefile:23: lex.yy.c] Error 127
make[3]: Leaving directory '/root/PF_RING/userland/nbpf'
make[2]: *** [Makefile:152: ../nbpf/libnbpf.a] Error 2
make[2]: Leaving directory '/root/PF_RING/userland/lib'
make[1]: *** [Makefile:12: libpfring] Error 2
make[1]: Leaving directory '/root/PF_RING/userland'
make: *** [Makefile:3: all] Error 2

这次的错误信息表明在编译 PF_RING 的 nbpf 子模块时,lex 工具没有找到。

lex(也称为 flex)是一个用于生成词法分析器的工具,它可以将词法描述文件(通常以 .l 扩展名结尾)转换成 C 语言源代码。

安装flex:

sudo apt-get update  
sudo apt-get install flex

再次编译,终于编译成功了。

3.2.4 安装pf_ring内核模块

root@ndr:~/PF_RING# cd kernel
root@ndr:~/PF_RING# make
root@ndr:~/PF_RING# make install

3.2.5 安装并加载pf_ring模块和透明模式驱动

### 查看网卡型号
root@ndr:~/PF_RING# ethtool -i ens1f0
##############################################
driver: ixgbe
version: 6.1.0-18-amd64
firmware-version: 0x800007f5, 17.5.10
expansion-rom-version: 
bus-info: 0000:03:00.0
supports-statistics: yes
supports-test: yes
supports-eeprom-access: yes
supports-register-dump: yes
最低0.47元/天 解锁文章
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 35万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
Hyperscan在Suricata中的应用
weixin_37097605的博客
07-21 820
哈哈DPDK开源社区Welcome to DPDK白1点击关注Suricata简介如前所述,Hyperscan作为一款高性能的正则表达式匹配库,极适用于部署在IDS/IP...
Suricata配置
weixin_34302561的博客
08-17 356
          见官网 https://suricata.readthedocs.io/en/latest/configuration/index.html#             Docs »   8. Configuration  Edit on GitHub 8. Configuration 8.1. S...
pfsense 配置 snort Suricata
最新发布
jekc2008的专栏
04-21 219
安装Suricata
Suricata高性能配置
u011311291的博客
03-05 7145
.Suricata对包的规则检测 1.为了高性能,将规则按照一定算法分很多组(例如如果出现带有UDP协议的数据包,则不需要TCP协议的所有签名) 2.更多的分组有用更高的性能,但占用更多的内存,默认配置选项 detect: profile: medium custom-values: toclient-groups: 2 toserver-groups: 25 sgh...
Suricata, to 10Gbps and beyond(X86架构)
awaaaddds的专栏
06-09 2149
Introduction Since the beginning of July 2012, OISF team is able to access to a server where one interface is receivingsome mirrored real European traffic. When reading "some", think between 5Gbps an
配置suricata
db5404的博客
09-24 122
yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic ...
Suricata02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 2830
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
DPDK_SURICATA-4_1_4 从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据包进入SURICATA处理流水线模式。 要做的事 将数据包缓冲区展平为完全零复制...
suricata4.1.10-用户手册
12-18
这个用户手册是Suricata 4.1.10版本的指南,由Open Information Security Foundation(OISF)发布,旨在帮助用户理解和配置这款软件。 **1. Suricata简介** Suricata是一个多线程IDS/IPS引擎,能够实时分析网络流量...
suricata-configuration:Suricata 概述和设置说明
06-14
Suricata 配置 安装: 运行 install.sh 来安装 suricata./install.sh 默认安装模式是 IDS 模式。 如果要在 IPS 模式下安装,请运行: ./install.sh -IPS 这会在/usr/bin安装 suricata,在/etc/suricata安装配置文件。 跑步: 接下来在 IDS 模式下运行 suricata./run.sh -IDS ethX 其中 ethx 是监控流量的接口。 在 IPS 模式下运行 suricata./run.sh -IPS ethX 这将使用 iptables 规则将流量路由到 suricata。 要查看 http 日志,请参阅/var/log/suricata/http.log 。 日志比较 要比较 squid 和 suricata 的日志,请在包含 suricata 日志 (
suricata-2.0.8.tar.gz
06-17
入侵检测系统——suricata 版本2.0.8,适用于linux系统kali版本
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
Suricata验证测试 这些测试使用特定的配置和/或输入运行Suricata,并验证输出。 运行所有测试 在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py 或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME 添加新测试 创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到测试目录中。 它必须以“ .pcap”或“ .pcapng”结尾。 这对于基本测试就足够了,该基本测试将在pcap测试上运行Suricata,以成功完成退出代码。 可选:在测试目录中创建一个suricata.yaml。 通常只需添加启用测试功能所需的YAML位即可。 如果测试目录不包含suricata.yaml,则将使用在构建目录中找到的一个。 将所需的所有规则添加到$ {dir} /te
suricata安装配置
Leeboy_Wang的专栏
01-25 5654
suricata是开源的IPS工具,其中使用了netfilter_queue库,可以借鉴 安装:(https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation) rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-r
探索高效网络安全:Suricata部署优化指南
gitblog_00052的博客
06-17 547
探索高效网络安全:Suricata部署优化指南 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 在网络安全的世界中,Suricata是一个强大的网络入侵检测系统(IDS)。它能够实时地监测和分析网络流量,识别潜在的安全威胁。这款开源工具以其高性能和可扩展性赢得了广大用户的青睐。本文将带你深入理解如何在18年的环境下,有效地部署和优化Suricata,利用最佳实践确保...
Suricata04-配置Suricata 7.0.3 基于DPDK模式运行
Simo2024的博客
05-13 2429
本文介绍了Suricata基于DPDK包捕获模式的安装,运行,难点主要在DPDK驱动的安装。
FEVER:Suricata EVE-JSON事件处理的新选择
资源摘要信息: "发烧(FEVER)是一个快速、可扩展且多功能的事件路由器,专门用于处理Suricata生成的EVE-JSON格式的事件。Suricata是一个开源的网络威胁检测引擎,能够执行入侵检测(IDS)、入侵防御(IPS)、网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Simo2024

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值