流量分析与NIDS系统之Suricata基于网关的IPS功能

最新推荐文章于 2025-04-05 11:57:18 发布
最新推荐文章于 2025-04-05 11:57:18 发布
阅读量685 收藏 13
点赞数 18
分类专栏: 渗透测试与护网蓝队 流量分析与NIDS系统 安全防御与运营保障 文章标签: 流量分析与NIDS系统 安全防御与运营保障 网络安全 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146430254
版权

文章目录

Suricata基于网关的IPS功能

一、端口转发

(1)第一种:本机端口转发,比如80端口对外封闭,开放一个7777供外部访问,外部只知道7777,不知道80,可以避免协议猜测

(2)第二种:远程端口转发,把本机接收到的请求转发到远程电脑和对应端口上(远程可以是本地局域网,也可以是公网服务器)

# 本机端口转发:
iptables -t nat -A PREROUTING -p tcp --dport 7777 -j REDIRECT --to-ports 80

# 远程端口转发:
# 需要确保端口转发功能是启用的
sysctl -w net.ipv4.ip_forward=1

# PREROUTING上访问8888时,转发给目标服务器和目标端口
# 将访问192.168.230.188:8888端口的流量转发给192.168.230.147:80
iptables -t nat -A PREROUTING -i ens33 -d 192.168.230.188 -p tcp --dport 8888 -j DNAT --to-destination 192.168.230.147:80

# 将192.168.230.147:80来的流量,交由192.168.230.188进行响应
iptables -t nat -A POSTROUTING -d 192.168.230.147 -p tcp --dport 80 -j SNAT --to 192.168.230.188
iptables -t filter -I FORWARD -j ACCEPT   
# 转发端口放行

PREROUTING是先于FILTER执行的,所以不需要转发时允许8888端口ACCEPT

二、远程转发IPS

什么意思呢,就是说我有一台公网服务器,比如就是这里的192.168.230.188,然后我开放他的8888端口,然后将访问该 192.168.230.188:8888 的流量转发给该服务器背后的内网主机 192.168.230.147 的 80 端口,也就是访问 192.168.230.188:8888 实际上访问的是 192.168.230.147:80 的流量

1、同网段端口转发
开启远程转发: sysctl -w net.ipv4.ip_forward=1
# 访问192.168.230.188:9080时,将流量转发给192.168.230.147:80
iptables -t nat -A PREROUTING -d 192.168.230.188 -p tcp --dport 9080 -j DNAT --to-destination 192.168.230.147:80

# 从192.168.230.147:80来的流量,交由192.168.230.188进行响应
iptables -t nat -A POSTROUTING -d 192.168.230.147 -p tcp --dport 80 -j SNAT --to 192.168.230.188

# 使用 iptables -nL -t nat 查看转发规则

image-20250226153206394

但此时任然无法访问,要想可以访问,我们需要配置 iptables 接受端口转发

iptables -t filter -I FORWARD -j ACCEPT

image-20250226153935618

2、配置iptables
iptables -I FORWARD -j NFQUEUE       # 所有转发流量交由NFQUEUE处理
3、为目标服务器192.168.230.147配置白名单,其他IP均拒绝

为了防止网管ips沦陷,以及被内网渗透进来

firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.230.188" port port="80" protocol="tcp" accept'
firewall-cmd --remove-port=80/tcp
4、编写预警规则,并使用drop或reject进行拦截

三、网关IPS

1、开启远程转发: sysctl -w net.ipv4.ip_forward=1
2、为目标服务器230.147手工配置网关地址为230.188。

如果是Windows环境,直接配置网络属性,手工指定网关,如果是Linux环境,要么编辑 /etc/sysconfig/network-scripts/ifcfg-ens33 手工指定GATEWAY,要么运行命令:“ route add default gw 192.168.230.188 ens33”,重启网卡,使用命令 route -n 或 Windows上的route print均可以查看网关信息。

此处需要特别注意,230.147上最好只有一块网卡,禁用或删除其他多余网卡,否则可能导致连接不成功。

3、然后在网关230.188上执行以下命令完全配置:
iptables -t nat -A PREROUTING -i ens37 -d 192.168.19.34 -p tcp --dport 9080 -j DNAT --to-destination 192.168.230.147:80

此时,iptables的nat规则如下:

在这里插入图片描述

4、让转发流量进入NFQUEUE:iptables -I FORWARD -j NFQUEUE

此时,正常启动Suricata的IDS或IPS模式均可,同时从230.147上可以看到访问的源IP地址为客户机的真实IP,并且原客户端不需要配置路由,与真实的公网和内网环境一致。

image-20230324145700181

当然,如果同在一个局域网,也可以为客户机配置网关为19.34,为服务器配置网关为230.188,则此时实现了跨网段路由,则可以直接在客户机上跨网段访问230.147目标服务器。

Suricata也可以工作在核心交换机或者网关上,只需要确保流量经过Suricata或者进行端口镜像即可。

Surciata源码分析之IpsNFQ模式(2)
Firedb的专栏
05-19 3611
2. 各模块功能分析   Receive:从NFQUEUE中接收数据包,并将封装在Packet结构中,然后放入下一个缓冲区。   Decode:对数据包进行解码,主要是对数据包头部信息进行分析并保存在Packet结构中。   StreamTCP:对数据包进行TCP流重组。   Detect:检测数据包是否包含入侵行为。   Verdict:对检测后
基于网络安全相关的开源项目技术预研分析报告
sx0522的专栏
11-10 9198
目 录 基于网络安全相关的开源项目技术预研分析报告 1 1. 预研背景 3 2. 预研目的和意义 3 3. 预研目标 3 4. 预研技术描述 3 4.1 态势感知或安全运营中心-OSSIM 3 4.1.1 OSSIM简介 3 4.1.2 OSSIM的功能 4 4.1.3 OSSIM的架构 6 4.1.4 OSSIM各个模块之间的关系 7 4.1.5 OSSIM关联引擎 8 4.1.6 OSSIM部署 11 4.2 入侵检测防御技术-Snort/Security Onion 1...
Suricata-IPS安装流程
qq_44022820的博客
01-08 985
Ubuntu系统中安装Suricata,以IPS模式运行
流量分析NIDS系统Suricata基于本机的IPS功能
没有网络安全就没有国家安全
03-21 556
流量分析NIDS系统Suricata基于本机的IPS功能
suricataips模式
Leeboy_Wang的专栏
01-25 4536
suricata --build-info 查看是否支持NFQ模式 Suricata Configuration:   AF_PACKET support:                       yes   PF_RING support:                         no   NFQueue support:                         y
开源工具利器之基于网络的IDS:Suricata
黑白的博客
04-24 7021
主程序目录核心配置(suricata.yaml)日志eve.json:json格式的预警信息(类似wazuh的alert.json)fast.log:预警核心文件,只用于非结构化存储预警信息(类似wazuh的alert.log)stats.log:Suricata的统计信息suricata.log:程序运行日志。
Web安全 - 安全防御工具和体系构建
小工匠
10-03 4582
最终,设计一个适合公司的安全体系,既是对安全人员技术能力的考验,也是对其业务发展需求契合度的挑战。安全防御工具只是辅助,最终的效果取决于如何选择和实施它们。
linux对网络的监控操作学习--端口、流量、IP
weixin_40539956的博客
04-20 2203
用户空间是指非内核代码运行的内存区域,即普通的应用程序运行的地方。用户空间提供了一个相对安全的环境,因为即使用户空间的程序崩溃,也不会直接影响到系统的稳定性。Linux系统中的用户空间程序指的是运行在用户空间的软件应用程序,运行在内核空间的内核程序相对。总之,用户空间程序包括几乎所有普通用户直接使用的软件应用程序,而这些程序通过内核空间进行交互,来实现对硬件资源的访问和管理。auditd是Linux系统的审计守护进程,可以记录系统上的所有活动,包括网络活动,提供详细的审计功能
深入解析网络入侵检测系统(NIDS)源代码工具安装
1. Snort:目前最流行的开源NIDS工具之一,它支持实时流量分析数据包日志记录,并具有丰富的签名库。 2. Suricata:一个相对较新的开源安全监测引擎,支持多线程和高性能的检测。 3. Bro:一个侧重于网络监控的...
入侵检测防御系统:IDSIPS的深度剖析
文章接着分析了IDSIPS面临的技术挑战,以及人工智能和分布式系统等新技术的融合对其未来发展的促进作用。最后,本文提出了构建有效的IDSIPS系统的方法,并通过案例研究,展示IDSIPS在企业安全防护中的应用效果...
网络防火墙入侵检测系统(IDS_IPS)
网络安全是指保护计算机网络不受未经授权的攻击、破坏、窃听或者篡改,确保网络系统的机密性、完整性和可用性。随着互联网的快速发展,网络安全问题日益突出,成为各个领域关注的焦点。 ## 1.2 常见网络安全威胁 ...
【NY8系统架构设计】:打造高性能基础架构的五大策略
本文首先概述了NY8系统的架构,然后深入讨论了核心组件的设计,包括数据处理层的存储和缓存优化策略,业务逻辑层的处理流程微服务应用,以及接入层的负载均衡和安全防护。随后,文章探讨了系统的可扩展性和弹性...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8668
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Linux2 CD LL hostnamectl type mkdir dudo
czhc1140075663的博客
04-02 258
问题:为什么在root目录下 看不到 /var /usr那些文件夹。下载Vmware tools。同时配置静态、瞬时主机名。
大模型快速 ASGI 服务器uvicorn
最新发布
不积跬步,无以至千里;不积小流,无以成江海。
04-05 612
Uvicorn 是一个基于 Python 的快速 ASGI(异步服务器网关接口)服务器。它的主要作用是作为 Web 应用程序的服务器,负责接收客户端的请求,并将请求传递给应用程序处理,然后将应用程序的响应返回给客户端。由于采用异步编程模型,它能高效处理大量并发请求,提升应用程序的性能和响应速度。
微端服务器
2503_90819036的博客
04-03 467
微端服务器是支撑微端(Micro Client)运行的核心基础设施,需兼顾**资源分发效率**、**低延迟访问**和**动态扩展能力**。| **存储类型** | **适用场景** | **示例服务** | **优势** || **场景** | **推荐配置** | **适用服务商** |
MCP服务器搜索引擎有哪些?MCP资源网站推荐
AIbase2024的博客
04-02 387
这里不仅提供了丰富的资源和强大的工具,还为开发者提供了全方位的支持和活跃的社区交流平台。AIbase的MCP资源网站提供了丰富的服务器资源,这些服务器能够暴露多种数据资源,涵盖文件、数据库记录、内存中的对象等。例如,通过配置文件系统MCP服务器,AI可以便捷地读取用户桌面的文件,为AI助手提供了广泛的数据支持。比如,查询数据库、执行文件写入操作等,为开发者提供了强大的工具支持,满足多样化的开发需求。这不仅优化了通信效率,还提高了系统的稳定性和可靠性,为AI数据系统的高效连接提供了坚实保障
新手建站基础指南:从服务器选择到网站上线
2302_77045867的博客
04-04 362
建站一些常识内容,帮助小白有个大致方向
基于Python的NIDS系统实现及功能介绍
5. **IPS(入侵防御系统功能**: 在NIDS的基础上,本项目还实现了IPS功能,即在检测到入侵活动时能够自动采取防御措施,如阻断攻击源IP地址,防止进一步的入侵尝试。 6. **模块分离**: 实现了模块化设计,这有助于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值