Suricata异常策略配置详解

Suricata异常策略配置详解

suricata Suricata is a network Intrusion Detection System, Intrusion Prevention System and Network Security Monitoring engine developed by the OISF and the Suricata community. 项目地址: https://gitcode.com/gh_mirrors/su/suricata

异常策略概述

Suricata作为一款强大的网络安全监控工具，在处理网络流量时可能会遇到各种异常情况，如内存容量达到上限(memcap)、遇到中间流(midstream)等情况。异常策略(Exception Policies)就是用来定义在这些特殊情况下Suricata应该采取何种行为的配置机制。

主开关配置

Suricata提供了一个"主开关"配置项，可以统一设置所有异常策略的默认行为：

exception-policy: auto

可选值包括：

• auto：在IPS模式下默认为drop-flow或drop-packet，IDS模式下为ignore
• drop-packet：丢弃当前数据包
• drop-flow：丢弃整个数据流
• reject：拒绝连接并发送重置包
• bypass：绕过检测
• pass-packet：放行当前数据包
• pass-flow：放行整个数据流
• ignore：忽略异常(默认行为)

注意：如果在yaml文件中为特定异常策略设置了值，该值会覆盖主开关的全局设置。

具体异常策略配置

Suricata支持对多种异常情况配置处理策略：

| 配置项 | 策略变量 | 影响范围 | 预期行为 | |--------|----------|----------|----------| | stream.memcap | memcap-policy | 流或数据包 | 流内存达到上限时应用策略 | | stream.midstream | midstream-policy | 流 | 处理中间流时应用策略 | | stream.reassembly.memcap | memcap-policy | 流或数据包 | 流重组内存达到上限时应用策略 | | flow.memcap | memcap-policy | 数据包 | 流表内存达到上限时应用策略(仅能作用于数据包) | | defrag.memcap | memcap-policy | 数据包 | 分片重组内存达到上限时应用策略(仅能作用于数据包) | | app-layer | error-policy | 流或数据包 | 应用层解析出错时应用策略 |

策略行为详解

每种异常策略可以配置以下行为：

1. drop-flow：丢弃整个流，停止解码和解析后续数据包
2. drop-packet：仅丢弃当前数据包
3. reject：类似drop-flow，但会发送重置包
4. bypass：绕过检测，不进行解码和解析
5. pass-flow：放行整个流，但仍进行流重组和应用层解析
6. pass-packet：放行当前数据包，但仍进行流更新和应用层解析
7. ignore：忽略异常(默认行为)

中间流处理策略

中间流(midstream)处理是Suricata中一个特殊场景，指在TCP会话建立后才开始监控的流量。其行为因IDS/IPS模式而异：

IDS模式：

• 启用中间流(stream.midstream=true)：会跟踪会话并进行应用层解析
• 禁用中间流(stream.midstream=false)：不跟踪会话，不进行应用层解析

IPS模式：

• 启用中间流：默认行为与IDS模式相同
• 禁用中间流：默认会丢弃整个流(drop-flow)

日志与统计

当异常策略被触发时，相关信息会记录在流日志中：

"exception_policy": [
  {
    "target": "stream_midstream",
    "policy": "pass_flow"
  },
  {
    "target": "app_layer_error",
    "policy": "ignore"
  }
]

Suricata还为每种异常策略维护了统计计数器，如：

• exception_policy.tcp.ssn_memcap：TCP会话内存上限统计
• exception_policy.defrag.memcap：分片重组内存上限统计
• exception_policy.app_layer.error：应用层错误统计

测试工具

Suricata提供了一些命令行工具来测试异常情况，用于测试和调试：

• test-applayer-error-at-offset-ts：在指定偏移量测试应用层错误
• test-packet-loss：测试指定数据包丢失
• test-packet-tcp-reassembly-memcap：测试TCP流重组内存达到上限
• test-packet-flow-memcap：测试流表内存达到上限
• test-packet-defrag-memcap：测试分片重组内存达到上限

最佳实践建议

1. 在IPS模式下，建议使用auto或drop-flow策略以确保安全
2. 在IDS模式下，可根据监控需求选择pass-flow或ignore
3. 对于关键业务流量，可考虑使用bypass策略确保业务连续性
4. 定期检查异常策略统计，了解系统运行状况
5. 在变更异常策略前，建议先在测试环境验证效果

通过合理配置异常策略，可以在保证安全性的同时，优化Suricata的性能和稳定性。

suricata Suricata is a network Intrusion Detection System, Intrusion Prevention System and Network Security Monitoring engine developed by the OISF and the Suricata community. 项目地址: https://gitcode.com/gh_mirrors/su/suricata