基于网络流量的NIDS检测Suricata简单测试

admin 2023年11月28日14:58:33评论11 views字数 2362阅读7分52秒阅读模式

基于网络流量的NIDS检测Suricata简单测试

Suricata是什么

什么是入侵检测系统(IDS)

入侵检测系统 (IDS) 监视网络流量中的可疑活动和已知威胁,并在发现此类活动时发出警报。

入侵检测系统根据 IDS 传感器的放置位置进行广泛分类:网络或主机。


1.NIDS网络入侵检测系统

基于网络的入侵检测系统 (NIDS) 在 NIDS 传感器的帮助下监视和分析网络流量以发现可疑行为和真正的威胁。它仔细检查通过网络移动的所有数据包的内容和标头信息。

NIDS 传感器放置在网络中的关键点,以检查来自网络上所有设备的流量。例如,NIDS 传感器安装在防火墙所在的子网上,以检测拒绝服务 (DoS) 和其他此类攻击。

2.HIDS主机入侵检测系统 

基于主机的入侵检测系统 (HIDS) 监视和分析企业网络上运行的设备的系统配置和应用程序活动。HIDS 传感器可以安装在任何设备上,无论是台式电脑还是服务器。

HIDS 传感器本质上拍摄现有系统文件的快照,并将其与以前的快照进行比较。他们寻找意外的更改,例如覆盖、删除和访问某些端口。因此,系统会向管理员发送警报,以调查可疑的活动。


Suricata是一款基于TCP/IP协议栈解析与安全数据分析引擎:

能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线PCAP处理,全面支持Snort规则;

Suricata使用强大而广泛的规则和签名语言检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁;

使用标准的输入和输出格式(如yaml和json),与现有的siem、splunk、logstash/elasticsearch、kibana和其他数据库等工具的集成变得很容易;

入侵检测规则更新活跃,具有较强的社区支持。

支持数据包解码:

IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE

Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN

HTTP,SSL,TLS,SMB,DCERPC,SMTP,FTP,SSH,DNS,Modbus,ENIP / CIP,DNP3,NFS,NTP,DHCP,TFTP,KRB5,IKEv2

#参考:https://blog.csdn.net/yrx0619/article/details/81267236https://bricata.com/resources/white-paper/bro-vs-snot-or-suricata/https://www.secpulse.com/archives/71603.htmlhttps://www.maliciouskr.cc/2019/06/22/%E4%BD%BF%E7%94%A8Suricata%E6%9E%84%E5%BB%BA%E7%BD%91%E7%BB%9C%E5%B1%82%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B/#suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。
基于网络流量的NIDS检测Suricata简单测试

✨Suricata安装

#centos7参考安装https://docs.suricata.io/en/latest/install.html#auto-setuphttps://zhuanlan.zhihu.com/p/564947481sudo yum install epel-release yum-plugin-copr -ysudo yum copr enable @oisf/suricata-7.0 -ysudo yum install suricata -y
基于网络流量的NIDS检测Suricata简单测试

✨Suricata修改配置启动测试

#修改配置 Suricata
#查看本机ip以及网卡名称ifconfigcp /etc/suricata/suricata.yaml /etc/suricata/suricata.bakvim /etc/suricata/suricata.yaml#########################################################对于HOME_NET 虚拟机centos7的的 IP 地址 网卡为ens33HOME_NET:“[192.168.130.200]”- interface: ens33#default-rule-path属性设置为/etc/suricata/rules#########################################################更新 Suricata 规则集suricata-update -o /etc/suricata/rules#测试一下配置是否正常suricata -T -c /etc/suricata/suricata.yaml -v#添加开机自启动sudo systemctl enable suricata sudo systemctl start suricata #开始测试suricata -c   /etc/suricata/suricata.yaml -i ens33curl http://testmynids.org/uid/index.html输出uid=0(root) gid=0(root) groups=0(root)cat /var/log/suricata/fast.log
sudo yum install jq -yjq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json
基于网络流量的NIDS检测Suricata简单测试
基于网络流量的NIDS检测Suricata简单测试
基于网络流量的NIDS检测Suricata简单测试
基于网络流量的NIDS检测Suricata简单测试
基于网络流量的NIDS检测Suricata简单测试
基于网络流量的NIDS检测Suricata简单测试
基于网络流量的NIDS检测Suricata简单测试


基于网络流量的NIDS检测Suricata简单测试



原文始发于微信公众号(echoabced):基于网络流量的NIDS检测Suricata简单测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月28日14:58:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   基于网络流量的NIDS检测Suricata简单测试https://cn-sec.com/archives/2243694.html

发表评论

匿名网友 填写信息