二次开发suricata支持规则加解密(Centos7)

于 2025-02-06 14:11:25 发布
阅读量880 收藏 5
点赞数 17
分类专栏: 网络与计算机安全 文章标签: SUricata c语言 入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43563169/article/details/145472695
版权

二次开发suricata支持规则加解密(Centos7)

一、需求

  • 支持AES对称加密算法的对应解密

    • 支持规则base64解码

    • 内置key,iv,暂不做配置文件配置支持

    • 使用Zero填充算法

    • 支持redis事件外发

    • 不改变原有其他功能

二、开发思路
  • github下载源码包
  • /src目录下查找根据suricata.yaml配置加载规则路径,规则文件的处理入口
  • 进一步定位到具体规则文件的读取、逐行处理函数,位置
  • 编写aes解密函数,实现解密功能,提供对外调用函数
  • 在定位的逐行处理位置插入解密调用,完成解密功能的插入
  • 准备linux打包编译环境,根据官方指导完成编译打包
  • 提取二进制文件,依赖的.so文件,在其他正常部署的服务器替换重启
三、具体实现
  1. 下载源码包
    地址:https://github.com/OISF/suricata
  2. 明确规则文件加载模块:
    /src/detect-engine-loader.c
  3. 明确规则文件读取函数DetectLoadSigFile:
    static int DetectLoadSigFile(DetectEngineCtx *de_ctx, char *sig_file, int *goodsigs, int *badsigs, int *skippedsigs){
	......
}
  4. 明确规则文件打开,逐行处理位置
    ......
    
FILE *fp = fopen(sig_file, "r");
if (fp == NULL) {
     
SCLogError("opening rule file %s:"
      " %s.",sig_file, strerror(errno));
    return -1;
}

while(fgets(line + offset, (int)sizeof(line) - offset, fp) != NULL) {
     
  ......
}
fclose(fp);
......
  5. 编写aes解密模块

    1. aes.crypto.h

      
#ifndef _AES_CRYPTO_H_
#define _AES_CRYPTO_H_

#define AES_BLOCK_SIZE 16

int aes_cbc_decrypt(unsigned char *in, unsigned char *out, int out_ln, unsigned char *key, unsigned char *iv);

unsigned char *Base64Decode(unsigned char *data,
最低0.47元/天 解锁文章
suricata匹配从入门到精通()----二次开发保护规则
leeezp的博客
10-20 9万+
开源的suricata资源包是没有做加密处理,如果想要保护资源包,需要二次开发修改suricata源码。
CentOS 7上安装和使用Suricata的详细步骤
秋̶᭄ꦿ攻城狮࿆ྂ
07-14 2596
Suricata已经安装并开始监控网络流量,检测潜在的入侵行为。你可以根据需要进行更多的配置,如日志记录、警报设置等。请参考Suricata的官方文档以获取更详细的配置和使用说明。文件,启用所需的规则集。在Suricata的配置文件中,找到并编辑。替换为要监控的网络接口,例如eth0。
使用 Suricata 进行入侵监控(一个简单小例子访问百度)
weixin_33713350的博客
08-09 1782
      前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)             1、自己编写一条规则规则书写参考snort规则suricata完全兼容snort规则)    例如以百度网站为例:    [root@suricata rules]# cat test.rules  ...
Suricata引擎二次开发之命中规则定位
最新发布
C20220511的博客
07-11 1118
前段时间搭了个suricata引擎播包测试流量规则,发现原生的suricata引擎并不能获取规则匹配的位置、命中的字符串等信息。因suricata引擎并不会输出命中的信息,遂修改源码,改了命中详情(下文简称高亮)出来,今天想跟大家分享一下修改和使用的过程。suricata引擎使用多线程技术,能够快速、准确地分析网络流量并识别潜在的安全威胁,是众多IDS和IPS厂商的底层规则检测模块。f为flow结构体也就是会带到打印日志那边的结构体,在结构体中新加一个字符串,即可达成带数据到日志流程的目的。
Centos7部署Suricata
m0_55593211的博客
04-25 2266
Centos 7部署Suricata Centos开启混杂模式 网卡的混杂模式,在该模式下网卡会将网络上的数据一并抓获。 [ROOT]# ifconfig eth1 promisc 设置混杂模式 [ROOT]# ifconfig eth1 -promisc 取消混杂模式 混杂模式开启后网卡会多出 “PROMISC” 安装依赖包 安装依赖: yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel j
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
开源USM之IDS suricata
weixin_34100227的博客
01-01 398
  上次我们介绍到USM,想必大家对它已经有一个概貌的认识了,今天我要与大家分享的是安全管理平台百宝箱中的入 侵 检 测 系统[IDS],入 侵 检 测 系统是对防火墙的补充,有一个经典的比喻:防火墙相当于一个把门的门卫,对于所有进出大门的人员进行审核:只有符合安全要求的人,就是那些有入门许可证的人才可以进、出大门;门卫可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,而且对于那些本身就在...
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
suricata-update:更新您的Suricata规则的工具
04-30
用于更新您的Suricata规则的工具。 安装 点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在...
scirius:Scirius是用于Suricata规则集管理的Web应用程序
02-05
7. 用户权限与审计:Scirius具有多用户支持,可以设置不同的访问权限,确保只有授权的人员才能修改规则集。同时,它还记录了所有操作,便于审计和回溯。 8. 敏感性调整:Scirius允许用户根据实际需求调整规则的灵敏...
suricata规则编写-检测ssh爆破攻击
whime
05-22 3957
步骤: 1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。 2. 编写suricata规则 3. 重放pcap包测试效果。 利用hydra和 tcpdump获取攻击流量包 在
suricata规则
whatday的专栏
12-20 8741
Emerging威胁检测规则wiki:http://doc.emergingthreats.net/bin/view/Main/WebHome Emerging规则文件:http://rules.emergingthreatspro.com/   基本语法 Snort规则Suricata规则基本语法相同 规则结构 一、规则头部: 1. 规则行为:行为声明,用于通知IDS引擎...
Suricata 规则的classtype作用,如何自定义classtype
yrx0619的专栏
12-12 1801
0x01 1.classtype classtype用于对规则进行分类及匹配的优先级进行制定。优先级的作用是suricata在进行规则匹配的时候,如果一条报文同时匹配两条告警,那么优先匹配优先级高的规则。 2.priority 具体每条规则的优先级,如果没有该项,规则会继承他的classtype优先级。 0x02 1.添加新的classtype 可以在classification.conf文件...
蜜罐网络(开源汇总)MHN
热门推荐
墨痕诉清风的博客
05-17 1万+
蜜罐是存在漏洞的,暴露在外网或者内网的一个虚假的机器,具有以下这些特征:1.其中重要的一点机器是虚假的,攻击者需要花费时间攻破。在这段时间内,系统管理员能够锁定攻击者同时保护真正的机器。2.能够学习攻击者针对该服务的攻击技巧和利用代码。3.一些蜜罐能够捕获恶意软件,利用代码等等,能够捕获攻击者的0day,同时可以帮助逆向工程师通过分析捕获的恶意软件来提高自身系统的安全性4.在内网中部署的蜜罐可以帮助你发现内网中其他机器可能存在的漏洞。
Centos7 安装suricata6.0
qq_38601892的博客
04-03 2044
Centos7 安装 suricata6.0 Centos7 安装 rust cargo
suricata 学习使用
累兰羽的博客
07-06 1万+
学习使用suricata 安装suricata 查看suricata的官方文档 在下ubuntu16.04下编译安装: -必须要的依赖包: sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libn...
Linux Centos7环境 Suricata 安装
qq_35911309的博客
09-17 2938
文章目录一、Suricata是什么?二、Suricata安装使用步骤环境安装依赖包下载解压Suricata编译安装自动安装配置文件启动测试 一、Suricata是什么? Suricata是一个高性能的网络ID、IP和网络安全监控引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)拥有。Suricata由OISF开发 官网地址:https://suricata-ids.org/ 二、Suricata安装使用步骤 环境 Suricata 4.1.8 on CentOS 7 安装依赖包.
Suricata入侵检测系统的搭建
煜铭2011
11-20 9059
0x01、安装CentOS1 基于CentOS-6.8-x86_64-bin-DVD1.iso,安装时选择desktop, customiz now,databases-->>mysql*, 进行安装mysql, 这里我们要配置可以访问外网。尽量选择多的开发包,不要选择最小化安装,因为那样的话,系统会缺失很多依赖包的,在后期编译的时候会出现很多问题的。毕竟现在硬盘和内存都很大了,不必节省那么点空间
TCP数据流
weixin_34242509的博客
03-11 845
1. 引言 如果按照分组数量计算,约有一半的TCP报文段包含成块数据(如FTP、电子邮件等),另一半则包含交互数据(如telnet和rlogin)。如果按照字节计算,则成块数据与交互数据的比例约为90%和10%。这是因为成块数据的报文段基本上都是满长度(full-sized)的(通常为512字节的用户数据),而交互数据则小得多,研究表明telent和rlogin分组中通常约90%的用户数据小于1...
centos7安装suricata
09-22
要在CentOS 7上安装Suricata,首先需要确保系统可以正常访问外网。然后,您可以按照以下步骤进行操作: 1. 执行以下命令,安装Suricata的依赖项: ```shell yum install wget libpcap-devel libnet-devel pcre-devel gcc-c automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel ``` 2. 下载Suricata的源代码包。您可以从Suricata的官方网站或GitHub页面获取最新版本的源代码。 3. 解压源代码包。您可以使用以下命令: ```shell tar -xvf suricata-x.x.x.tar.gz ``` 4. 进入解压后的Suricata目录: ```shell cd suricata-x.x.x ``` 5. 执行以下命令,配置Suricata的安装路径和其他选项: ```shell ./configure --sysconfdir=/etc --localstatedir=/var --enable-unittests ``` 在这个命令中,`--sysconfdir=/etc`指定了配置文件路径为`/etc/suricata/`,`--localstatedir=/var`指定了状态数据目录为`/var`。 6. 编译并安装Suricata: ```shell make make install ``` 安装完成后,您可以在指定的路径中找到Suricata的配置文件、日志等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玉言心

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值