suricata安装与配置

最新推荐文章于 2025-04-23 01:15:00 发布
最新推荐文章于 2025-04-23 01:15:00 发布
阅读量1.3k 收藏 6
点赞数
分类专栏: suricata 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XCC_java/article/details/132604899
版权
本文介绍了Suricata,一款基于网络流量的威胁检测引擎,详细讲解了其IDS和IPS功能,源码和二进制安装方法,以及如何配置规则和进行规则测试,包括使用XAMPP进行实战演练。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、功能介绍

1、概述

suricata来源于经典的nids系统snort,是一套基于网络流量的威胁检测引擎,整合了ids,ips,network security monitoring(NSM)和PCAP processing等功能。

2、IDS功能

通过监听网卡流量并匹配规则引擎进行入侵实时监测和预警,检测手段上也和Wazuh比较类似。

3、IPS功能

与Wazuh的主动响应功能并不完全一样,IPS功能并不需要对防火墙进行调用,而是直接通过流量引入iptables队列中,再根据特征进行检测,满足规则的流量会直接被Suricata丢弃或拒绝,导致整个流量根本无法到达目标服务器。而Wazuh的主动响应机制则是在攻击行为已经发生或正在发生的情况下,通过日志信息进行检测,再调用iptables或firewall-cmd进行处理,实时性和准确性方面相对于suricata更延后一些。

4、支持的协议

Suricata来源于Snort,但是比Snort更加实用也增强了更多的功能,同时,Snort支持传输层和网络层协议,而Suricata还支持应用层的协议进行解析和规则匹配。

二、安装suricata

1、源码安装 (不推荐)

sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel \
  zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make \
  libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo \
  lz4-devel
  
#下载安装包
wget https://www.openinfosecfoundation.org/download/suricata-6.0.0.tar.gz
tar -xvf suricata-6.0.0.tar.gz
cd  suricata-6.0.0

#编译安装
make
sudo make install
sudo ldconfig

#自动安装配置文件
make install-conf 
make install-rules
make install-full

2、二进制安装

centos7安装

yum install epel-release yum-plugin-copr
yum copr enable @oisf/suricata-6.0
yum install suricata
​
#安装完成后,对应路径如下:
suricata主程序路径:/usr/sbin/suricata
suricata核心配置目录:/etc/suricata/
suricata日志目录:/var/log/suricata/
suricata附属程序目录:/usr/bin
​
#日志目录下得4个文件的功能
eve.json:以json格式存储预警信息或附加信息
fast.log:预警核心文件,只用于存储警告信息,非结构话数据
stat.log:suricata的统计信息
suricata.log:suricata程序的运行日志

安装完可以执行如下命令进行验证是否安装成功

/usr/sbin/suricata --build-info
​
suricata -V

三、修改配置运行

直接编辑/etc/suricata/suricata.yaml

vars:
  # more specific is better for alert accuracy and performance
  address-groups:
    #HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
    #HOME_NET: "[192.168.0.0/16]"
    #HOME_NET: "[10.0.0.0/8]"
    #HOME_NET: "[172.16.0.0/12]"
    #HOME_NET: "any"
    HOME_NET: "[192.168.100.0/24]"      #这里改成自己ip对应网段
​
    #EXTERNAL_NET: "!$HOME_NET"
    EXTERNAL_NET: "any"

运行suricata,

cd /etc/suricata && suricata -c suricata.yaml -i ens33(这里网卡根据实际情况修改)

首次运行必定会报错误:

30/8/2023 -- 10:32:09 - <Info> - Configuration node 'HOME_NET' redefined.
30/8/2023 -- 10:32:09 - <Notice> - This is Suricata version 6.0.13 RELEASE running in SYSTEM mode
30/8/2023 -- 10:32:09 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /var/lib/suricata/rules/suricata.rules
30/8/2023 -- 10:32:09 - <Warning> - [ERRCODE: SC_ERR_NO_RULES_LOADED(43)] - 1 rule files specified, but no rules were loaded!
30/8/2023 -- 10:32:09 - <Notice> - all 4 packet processing threads, 4 management threads initialized, engine started.

要在/etc/suricata/suricata.yaml修改如下配置,并创建一个suricata.rules

default-rule-path: /etc/suricata/rules
​
rule-files:
  - suricata.rules

还要在suricata.rules中编写一条规则,不然还是会报错

alert http any any <> $HOME_NET 80 (msg:"web服务器出现404状态码"; content: "404"; http_stat_code; sid:561001;)

这条规则是如果访问目标网站响应404则发生告警

四、安装XAMPP进行规则测试

详解Xampp和wordpress在Centos7上的搭建与使用 - Python技术站

1. 下载和安装XAMPP

首先,我们需要下载并安装XAMPP。可以在官方网站 XAMPP Installers and Downloads for Apache Friends 上下载最新版本的XAMPP。下载完成后,使用以下命令进行安装:

$ chmod +x xampp-linux-x64-7.X.X-X-installer.run
$ sudo ./xampp-linux-x64-7.X.X-X-installer.run

2. 启动XAMPP

安装完成后,可以使用以下命令启动XAMPP:

$ sudo /opt/lampp/lampp start

后台启动suricata

suricata -c suricata.yaml -i ens33 -D

在浏览器中访问主机ip对应的网站/phpinfo这个不存在的页面,在另一个终端窗口查看日志,可以看到规则生效。

补充:

我们还可以通过eve.json文件中查看告警信息,相对于fast.log多了很多其他信息,有很多其实不用关心,可以用以下命令进行过滤:

cat /var/log/suricata/eve.json |grep 'event_type":"alert'

如果不想要eve.json产生过多无用信息,可以在suricata.yaml的配置文件中对各种类型的输出进行禁用,如:

在核心配置文件中,找到outputs->eve-log->types节点
- anomaly:
  enabled: no
- http:
  extended: no
​
可以大量减少无效信息,当然也取决于我们是否需要对此类日志进行收集
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 35万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
suricata安装使用
qq_43671947的博客
08-13 6107
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
如何在 Linux 系统上安装 Suricata 入侵检测系统
weixin_33738578的博客
05-02 958
如何在 Linux 系统上安装 Suricata 入侵检测系统 随着安全威胁的不断发生,入侵检测系统(IDS)在如今的数据中心环境中显得尤为必要。然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统,它将 CPU 密集型的深...
高性能的开源网络入侵检测和防御引擎:Suricata介绍
最新发布
人人可学,人人可用,IT与AI不是高不可攀!
04-23 1170
在Debian Linux下使用 Suricata 更加方便和强大。通过 apt 包管理器安装,编辑 /etc/suricata/suricata.yaml 进行配置,使用 systemctl 管理服务,以及查看 /var/log/suricata/ 下的日志文件,你可以轻松地进行网络流量分析和入侵检测。记得定期更新规则以保持 Suricata 的有效性。
Suricata安装基本使用
zhuge_long的专栏
08-03 857
alert http $EXTERNAL_NET any $HOME_NET 80 (msg:"多次404,疑似扫描";Suricata来源于经典的NIDS系统Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。
Suricata配置
weixin_34302561的博客
08-17 345
          见官网 https://suricata.readthedocs.io/en/latest/configuration/index.html#             Docs »   8. Configuration  Edit on GitHub 8. Configuration 8.1. S...
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 4969
Suricata(Ubuntu)的安装以及使用过程
SuricataELK栈安装配置实用指南
1. Suricata安装配置:介绍如何下载安装Suricata,以及如何配置其规则集和接口来捕获网络流量。 2. Elasticsearch安装配置:解释Elasticsearch的作用,如何进行安装以及相关的配置文件设置。 3. Logstash安装...
Suricata】04-配置Suricata 7.0.3 基于DPDK模式运行
Simo2024的博客
05-13 2363
本文介绍了Suricata基于DPDK包捕获模式的安装,运行,难点主要在DPDK驱动的安装
suricata+elk+kibana+logstash安装手册.docx
08-13
- 安装 Logstash 通常涉及下载软件包,配置输入插件(如 Suricata 的 eve.json 输出格式),以及输出插件指向 Elasticsearch。 4. **Kibana 安装**: - Kibana 用于数据可视化,通过网页界面展示 Suricata 检测到...
Suricata-pfSense:让Suricata在pfSense上工作
03-28
这些步骤对我来说pfSense 2.5.0-RELEASE结合使用,旨在使您继续努力,使Suricata在pfSense上为您工作。 先决条件 您的ELK堆栈已经在某个地方运行。 您的pfSense已经运行。 pfSense 为了使您更容易复制粘贴到...
suricata安装编译
weixin_33924220的博客
09-11 1672
最近打算研究suricata源码,下载并安装了稳定版3.2.3版本,操作系统是Ubuntu 16.04.2 LTS,下来描述我的操作过程; 1,安装suricata运行可能用到的库;   sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \   build-essential autoconf automake libtool l...
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 5561
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
Suricata 下载 安装、使用---- windows系统、linux系统
zengliguang的专栏
09-20 1318
替换为实际要监控的网络接口名称,如。
Su+ELK实现网络监测(1)——Suricata安装配置
ytraister的博客
04-11 2310
suricata安装配置文档
uos(统信)--suricata环境搭建
weixin_43287904的博客
10-22 556
根据你的流量场景,配置相应的iptables规则。规则目录,存放不同种类的规则文件 *.rules,规则用来判定流量攻击类型,并定义攻击类型和告警种类等。预设的suricata运行时并不是以入侵防御系统(IPS)运行的,而是以入侵检测系统(IDS)运作的。这个方式是参考微软云网络监察程序那章直接下载suricata的一些规则集的,也可以使用。用于定义和分类不同类型的网络事件,比如哪些是潜在的攻击、哪些是正常的网络活动等。是Suricata的主要配置文件,它包含了规则配置、接口配置、日志配置、检测配置等。
suricata安装配置
Leeboy_Wang的专栏
01-25 5642
suricata是开源的IPS工具,其中使用了netfilter_queue库,可以借鉴 安装:(https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation) rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-r
8s yaml 配置生成_suricata安装配置
weixin_26820341的博客
01-13 289
1. suricata安装ubuntu依赖安装sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-n...
Suricata安装教程
u011311291的博客
01-23 5166
1.安装必要库 (1)检查是否安装了jansson,这是Suricata输出的日志文件eve.json必备库 可参考:彻底解决Suricata Eve-log support not compiled in 问题 (2)安装pfring 2.安装Suricata https://suricata-ids.org/download/下载安装包 (1)解压安装包 tar -zxf suricata-4...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值