suricata 开源工具学习-规则 关键字开发应用

已于 2024-01-24 14:31:03 修改
阅读量1.2k 收藏 17
点赞数 23
分类专栏: suricata应用开发 文章标签: linux c语言 网络 源代码管理
于 2024-01-22 16:56:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41167620/article/details/135752430
版权

suricata提供了组件式的开发方式,在SigTableSetup注册所有规则关键字。

通过接口可以看出,sigmatch_table变量为所有规则关键字的实例(可以作为gdb的调试参数)

文件

规则关键字的编译文件命名格式detect-xx.c detect-xx.h

生成文件

下载对应suricata主干版本的工具,本教程使用4.1.x版本,github地址: https://github.com/OISF/suricata/tree/master-4.1.x

解压完成后的路径结构

scripts目录里就有生成关键字和协议的脚本,我们执行工具+关键字(自己diy)名称

/bin/bash scripts/setup-simple-detect.sh test

结果是这样的代表成功,让我们编译即可。

我们把生成的文件拿到编译环境中(这里生成后,也可以在script版本中使用,因为他是裁剪的所以我还是用主干

这是生成的文件

复制进我们自己编译环境的src目录中。

编译

如何生效模板(成功编译)

  • Makefile编译:src/Makefile 向am_suricata_OBJECTS成员中加入生成的文件

  • 新增规则ID:每个规则拥有自己的index存在于sigmatch_table这个线性表里面。坐标声明在detect-engine-register.h文件中。加入DETECT_TEST宏
  • 注册接口:在detect-engine-register.c中加入生成文件关键字的注册接口

在这里还要添加对应头文件

        

编译

最低0.47元/天 解锁文章
Suricata规则编写——常用关键字
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字
开源网络入侵检测和防御系统(Suricata
weixin_43156294的博客
01-11 922
Suricata 是一个高性能的开源网络入侵检测和防御系统(IDS/IPS),由 Open Information Security Foundation(OISF)开发。它能够实时分析网络流量,识别和防御各种网络攻击,提高网络环境的安全性。支持入侵检测系统(IDS)、入侵防御系统(IPS)和网络安全监控(NSM)等多种功能。
Suricata规则编写
weixin_39003567的博客
03-05 3111
规则格式 Suricata规则包括以下三部分: action,action决定当signature匹配的时候会发生什么 header, 定义了协议,IP地址,端口和规则的位置 rule options, 定义规则细节 droptcp $HOME_NET any -> $EXTERNAL_NET any(msg:”ET TROJAN Likely Bot Nick in IRC (...
高性能的开源网络入侵检测和防御引擎:Suricata介绍
最新发布
人人可学,人人可用,IT与AI不是高不可攀!
04-23 1208
在Debian Linux下使用 Suricata 更加方便和强大。通过 apt 包管理器安装,编辑 /etc/suricata/suricata.yaml 进行配置,使用 systemctl 管理服务,以及查看 /var/log/suricata/ 下的日志文件,你可以轻松地进行网络流量分析和入侵检测。记得定期更新规则以保持 Suricata 的有效性。
suricata规则
whatday的专栏
12-20 8746
Emerging威胁检测规则wiki:http://doc.emergingthreats.net/bin/view/Main/WebHome Emerging规则文件:http://rules.emergingthreatspro.com/   基本语法 Snort规则Suricata规则基本语法相同 规则结构 一、规则头部: 1. 规则行为:行为声明,用于通知IDS引擎...
suricata 检测规则编写
xuwaiwai的博客
09-11 5320
目录 规则规则行为,根据优先级排列: 协议: 源ip,目标ip: 源端口/目标端口: 流量方向: 规则体 msg: flow流匹配: flowbits : sameip源ip、目标ip检测: content内容匹配: 不区分大小写 nocase: 偏移位置 offset: 结束位置 depth: 在xx范围外 distance : 在xx范围内 within: 有效载荷大小 dsize: pcre正则 pcre: http修饰符: fast_pattern...
suricata 开源工具学习-规则了解
qq_41167620的博客
01-24 1723
匹配信用卡号码: pcre:"/([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2} - \d{4} /";1. TTL:匹配指定的TTL指,可使用关系运算符(< , =, >),可以用来识别操作系统类型。针对检测http流量的规则Suricata提供了http流重组能力,同时提供了用于编写HTTP流量相关的更高效的规则修饰器。2. dsize:匹配一个指定payload大小的数据包,可使用关系运算符(< , =, >)
Suricata用户手册 V4.0.0
08-28
Suricata开发始于开源信息安全基金(OISF),旨在为社区提供一个功能丰富、性能强大的网络安全工具。 根据用户手册,Suricata 4.0.0版本包含了多种安装方法。用户可以选择源码安装或通过预编译的二进制包安装。...
Suricata规则分析与tcmalloc使用详解
Suricata是一款开源网络安全工具,主要用于网络流量的监控和分析,其功能包括识别网络攻击、异常行为检测等。在规则分析方面,SCA100T的报告列出了不同规则的性能指标,这对于优化Suricata的运行效率至关重要。 1...
suricata 6.0.4使用手册
03-03
- **规则格式**:Suricata规则是基于文本的,包含一系列关键字和操作符,用于定义要检测的网络行为。 - **元关键词**:元关键词提供关于规则的额外信息,如严重性、描述、参考等。 - **IP关键词**:这些关键词...
suricata规则编写-检测ssh爆破攻击
whime
05-22 3964
步骤: 1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。 2. 编写suricata规则 3. 重放pcap包测试效果。 利用hydra和 tcpdump获取攻击流量包 在
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
Suricata常用规则和入侵检测案例。
qq_39330735的博客
03-30 6050
1、Suricata是来来源于经典的NIDS系统,是一套基于网络流量的危险检测引擎,整合了IDS(Instrusion detection)、IPS(Instrusion Prevention)、NSM(Network Security Monitoring)和PCAP等功能2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段和wazuh比较类似3、、IPS功能。
Suricata】03-Suricata 7.0.x 规则管理
Simo2024的博客
05-13 1793
本文介绍了Suricata开源规则库的更新、查看、启用、关闭、删除。具体规则的启用、禁用、修改、删除;以及如何在不重启suricata引擎的情况下,如何重新加载规则,给规则设置白名单等操作。
Suricata/Snort规则参考
HoloLens的博客
08-21 5255
Suricata/Snort规则参考 文章目录Suricata/Snort规则参考限制优势6. Suricata 规则6.1. 规则格式6.1.1. 动作(Action)6.1.2. 协议(Protocol)6.1.3. 源和目的(Source and destination)6.1.4. 端口(Source and destination)6.1.5. 方向(Direction)6.1.6. 规则选项(Rule options)6.1.6.1. 修饰器关键词(Modifier Keywords)6.1.6
Suricata 开源项目教程
gitblog_00256的博客
09-08 1223
Suricata 开源项目教程 项目地址:https://gitcode.com/gh_mirrors/su/suricata 1. 项目介绍 Suricata 是一个开源网络入侵检测系统(IDS)、入侵防御系统(IPS)和网络安全监控引擎。它由 Open Information Security Foundation (OISF) 开发和维护。Suricata 支持多种操作系统,包括 Free...
Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)
qq_45560958的博客
09-19 2141
这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少库,不论是虚拟机上和在线的centos服务器上都报缺库,并且他们缺的库名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只做参考,实际根据你缺的库进行调整。因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源。
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 7143
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
suricata规则-开发自己的协议&规则suricata规则-开发自己的协议&规则关键字并生效_suricata规则编写关键字并生效_suricata规则编写
11-21
Suricata是一款强大的网络入侵检测系统(NIDS),允许用户自定义协议和规则以检测特定的安全威胁。在Suricata规则篇中,开发者可以创建"新协议"和"规则集"来匹配定制的网络流量模式。 **开发自己的协议**: - 首先,你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

强壮的向阳花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值