流量分析与NIDS系统之Suricata安装与配置

于 2025-03-21 17:54:00 发布
阅读量691 收藏 20
点赞数 28
分类专栏: 安全防御与运营保障 渗透测试与护网蓝队 流量分析与NIDS系统 文章标签: linux 服务器 流量分析 安全运营 安全防御 NIDS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146426258
版权

文章目录

Suricata安装与配置

教材内容

一、功能介绍
1、概述

Suricata来源于经典的NIDS系统Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。

image-20211222230530425

2、IDS功能

通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段上也Wazuh比较类似。

3、IPS功能

与Wazuh的主动响应的功能并不完全一样,IPS功能并不需要对防火墙进行调用,而是直接通过将流量引入到 iptables的队列中,再根据特征进行检测,满足规则的流量会直接被Suricata丢弃或拒绝,导致整个流量根本无法到达目标服务器。而Wazuh的主动响应机制则是在攻击行为已经发生或正在发生的情况下,通过日志信息进行检测,再调用iptables或firewall-cmd进行处理,实时性和准确性方面相对于Suricata更延后一些。

4、支持的协议

Suricata来源于Snort,但是比Snort更加实用也增强了更多的功能,同时,Snort只支持传输层和网络层协议,而Suricata还支持应用层的协议进行解析和规则匹配。

二、安装Suricata
1、二进制安装(推荐)
yum install epel-release yum-plugin-copr
yum copr enable @oisf/suricata-6.0
yum install suricata

# 安装完成后,对应的路径如下:
Suricata主程序路径:/usr/sbin/suricata
Suricata核心配置目录:/etc/suricata/
Suricata日志目录:/var/log/suricata/
Suricata附属程序目录:/usr/bin

# 日志目录下的4个文件的功能
eve.json:以JSON格式存储预警信息或附加信息
fast.log:预警核心文件,只用于存储警告信息,非结构化数据
stats.log:Suricata的统计信息
suricata.log:Suricata程序的运行日志
2、源码安装

(1)在Linux上安装

# yum install libjansson, libpcap, libpcre2, libmagic, zlib, libyaml, gcc, pkg-config,libgeoip, liblua5.1, libhiredis, libevent

# tar xzvf suricata-6.0.0.tar.gz
# cd suricata-6.0.0

# ./configure --prefix=/var/suricata/ --sysconfdir=/var/suricata/config --localstatedir=/var/suricata/ --enable-lua  --enable-geoip --enable-nfqueue

# make
# make install

安装完成后,运行/usr/sbin/suricata —build-info,确认是否安装成功

This is Suricata version 6.0.4 RELEASE
Features: NFQ PCAP_SET_BUFF AF_PACKET HAVE_PACKET_FANOUT LIBCAP_NG LIBNET1.1 HAVE_HTP_URI_NORMALIZE_HOOK PCRE_JIT HAVE_NSS HAVE_LUA HAVE_LIBJANSSON TLS TLS_GNU MAGIC RUST 
SIMD support: none
Atomic intrinsics: 1 2 4 8 byte(s)64-bits, Little-endian architecture
……………………………………

(2)在Windows上安装

安装之前,需要先安装npcap库用于捕获网络流量:https://nmap.org/download.html

安装包下载地址:https://suricata.io/download/

三、首次运行Suricata
1、修改基础配置信息

直接编辑/etc/suricata/suricata.yaml

vars:  
	# more specific is better for alert accuracy and performance  
	address-groups:    
	#HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"    
	#HOME_NET: "[192.168.0.0/16]"    
	#HOME_NET: "[10.0.0.0/8]"    
	#HOME_NET: "[172.16.0.0/12]"    
	#HOME_NET: "any"    
	HOME_NET: "[192.168.112.0/24]"     # 指定192.168.112.0/24网段属于本地网络    
	
	#EXTERNAL_NET: "!$HOME_NET"           # 指定非HOME_NET的IP为外部网络    
	EXTERNAL_NET: "any"                   # 指定任意IP地址,只要是源IP,均视为外部网络

image-20250215005843646

完成上述配置后, 尝试使用以下命令来启动Suricata: cd /etc/suricata && suricata -c suricata.yaml -i ens33 ,会得到以下错误:

image-20250215010330451

错误消息显示,/etc/suricata/rules/suricata.rules (不同版本也可能是:/var/lib/suricata/rules/suricata.rules ) 规则文件不存在,导致无法正常启动,事实上默认的suricata.yml配置文件中是明确指定了默认加载该规则文件,而Suricata的发行版本中默认该规则文件并不存在,所以要正常启动,还需要手工创建一个规则文件。

image-20250215010347412

image-20250215010406351

修改为

image-20250215010421798

因为

image-20250215010458313

touch /etc/suricata/rules/suricata.rules
再指定 default-rule-path: /etc/suricata/rules  或   /var/lib/suricata/rules 均可

再次启动,会报以下错误:

image-20250214232416828

错误显示,规则文件已经存在,但是没有指定规则,所以要让Suricata成功启动,还必须为它创建一条规则才行。此时,我们先为其创建一条最简单的规则,基于ICMP协议。

alert http $EXTERNAL_NET any <> $HOME_NET 80 (msg:"出现404错误"; content: "404"; http_stat_code; sid:561001;)

image-20250215010810866

image-20250215010524771

2、查看预警信息

(1)启动Xampp或任意Web服务器,访问一个不存在的页面,使其产生404错误。

(2)运行 tail -f /var/log/suricata/fast.log 查看文件型预警信息

12/22/2021-23:36:54.329363  [**] [1:561001:0] 出现404错误 [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.112.195:80 -> 192.168.112.1:1403

image-20250215010626396

(3)运行 tail -f /var/log/suricata/eve.json,查看JSON格式的预警信息

{"timestamp":"2025-02-15T01:06:51.718153+0800","flow_id":1081272915109526,"in_iface":"ens32","event_type":"alert","src_ip":"192.168.230.188","src_port":80,"dest_ip":"192.168.230.1","dest_port":37829,"proto":"TCP","tx_id":0,"alert":{"action":"allowed","gid":1,"signature_id":561001,"rev":0,"signature":"出现404错误","category":"","severity":3},"http":{"hostname":"192.168.230.188","url":"/dashboard/phpinfcxcxcxo.php","http_user_agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36 Edg/133.0.0.0","http_content_type":"text/html","http_method":"GET","protocol":"HTTP/1.1","status":404,"length":1139},"files":[{"filename":"/dashboard/phpinfcxcxcxo.php","sid":[],"gaps":false,"state":"CLOSED","stored":false,"size":1036,"tx_id":0}],"app_proto":"http","flow":{"pkts_toserver":5,"pkts_toclient":6,"bytes_toserver":819,"bytes_toclient":1849,"start":"2025-02-15T01:06:10.829078+0800"}}

同时我们还看到eve.json文件中,相对于fast.log多了很多其他信息,有很多信息并非预警信息,如果不需要关心,可以用以下命令过滤:

grep 'event_type":"alert' /var/log/suricata/eve.json

image-20250215010758320

(4)如果不想要eve.json产生过多无用信息,需要在suricata.yaml的配置文件中对各种类型的输出进行禁用,比如:

在核心配置文件中,找到outputs -> eve-log -> types 节点
- anomaly:  
	enabled: no
- http:  
	extended: no
可以大量减少无效信息,当然这也取决于我们是否需要对此类日志进行收集

Suricata的配置文件特别多,功能也很丰富,后续学习过程中再逐步介绍。https://suricata.readthedocs.io/en/latest/output/eve/eve-json-output.html

3、让Suricata后台启动
suricata -c suricata.yaml -i ens33 -D
4、一些参考资料

官方网站:https://suricata.io/

在线文档:https://suricata.readthedocs.io/en/latest/

中文文档:https://www.osgeo.cn/suricata/

特性介绍:https://suricata.io/features/

suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 35万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
网络安全监控入侵检测:使用Snort、Suricata等工具进行入侵检测
weixin_39372311的博客
07-11 1148
网络安全监控入侵检测是构建坚不可摧的网络安全防线的重要环节。通过实时监控网络流量和系统活动,及时发现和阻止恶意行为,从而保护网络安全。在本篇文章中,我们介绍了网络安全监控入侵检测的基本概念,并使用Snort、Suricata等工具进行入侵检测。通过遵循最佳实践,我们可以更有效地进行网络安全监控入侵检测,提高网络的安全性。
Suricata常用规则和入侵检测案例。
qq_39330735的博客
03-30 5844
1、Suricata是来来源于经典的NIDS系统,是一套基于网络流量的危险检测引擎,整合了IDS(Instrusion detection)、IPS(Instrusion Prevention)、NSM(Network Security Monitoring)和PCAP等功能2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段和wazuh比较类似3、、IPS功能。
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
网络入侵检测系统suricata概要介绍
最新发布
2401_85280228的博客
02-25 643
工作模式的重点在于工作线程的处理,下面介绍一下工作线程的处理流程数据包工作线程是按照slot的注册跑,一个slot一个走这是个流工作线程,以afpacket的work工作模式为例,函数执行流程如下:ReceiveAFPLoop就是当时注册的收包slot,FlowWorker就是当时注册的flow work slot在多网卡收包的场景下,推荐使用work模式,该模式的性能会更好,同时可以调节收包模式,使得同一个五元组在同一个线程中处理,更有利于在攻击场景中做统计计算。
Suricata – 入侵检测、预防和安全工具
无痕的博客
10-08 3742
入侵检测、预防和安全工具Suricata安装、使用、自定义规则,包括几个示例说明
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 4530
Suricata(Ubuntu)的安装以及使用过程
Suricata:高性能网络入侵检测系统的原理应用
12-23
内容概要:本文详细介绍了Suricata,一个高性能的网络入侵检测和预防系统NIDS/NIPS)的原理应用。Suricata由OISF开发和维护,主要用于在高速网络环境中实时分析网络流量,检测潜在的恶意活动和网络入侵。文章...
深入解析网络入侵检测系统(NIDS)源代码工具安装
1. Snort:目前最流行的开源NIDS工具之一,它支持实时流量分析和数据包日志记录,并具有丰富的签名库。 2. Suricata:一个相对较新的开源安全监测引擎,支持多线程和高性能的检测。 3. Bro:一个侧重于网络监控的...
操作系统安全安装配置snort.docx
06-02
然而,为了实现一个完整的入侵检测系统,还需要对Snort进行更深入的配置,包括定义自定义规则、配置日志输出、集成其他工具如Suricata或Bro,以及日志分析系统(如Elasticsearch、Logstash和Kibana,即ELK栈)集成...
Suricata网络入侵检测系统源码及使用指南
Suricata是一种开源的网络威胁检测引擎,能够进行实时流量分析、在线数据包处理、实时监控日志记录以及各种网络攻击检测,包括入侵检测系统(IDS)、网络入侵防御系统NIDS)和主机入侵防御系统(HIDS)等多种...
Suricata】02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 2568
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
suricatalinux编译
hezhanran的博客
10-26 3236
suricata编译
suricata安装配置
simply
08-31 1238
1、概述suricata来源于经典的nids系统snort,是一套基于网络流量的威胁检测引擎,整合了ids,ips,network security monitoring(NSM)和PCAP processing等功能。2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时监测和预警,检测手段上也和Wazuh比较类似。3、IPS功能。
网络入侵检测系统Suricata(一)
诗酒趁年华
12-25 4091
What is Suricata Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎 系统功能包括:实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理 Suricata依靠强大的可扩展性的规则和特征语言过滤网络流量,并支持LUA脚本语言 输出文件格式为YAML或JSON,方便其他数据库或安全数据分析平台集成 Suricata采用社区驱动开发,有利于版本的维护和新特性的迭代 Features IDS / IPS 完善的特征语言用于描述已知的威
Suricata+ELK集群监控办公网流量
武天旭的博客
03-25 7152
背景 需要利用Suricata作为IDS来监控办公网出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储展示。 准备工作:在办公网出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
suricata -- 流管理系统
xuwaiwai的博客
02-16 6469
suricata中使用 流(Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了流管理机制来回收重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中流转。suricata使用不同线程维护这三个队列。
Su+ELK实现网络监测(1)——Suricata安装配置
ytraister的博客
04-11 2247
suricata安装配置文档
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6998
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NETEXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值