基于网络流量的NIDS检测Suricata简单测试
Suricata是什么
什么是入侵检测系统(IDS)
入侵检测系统 (IDS) 监视网络流量中的可疑活动和已知威胁,并在发现此类活动时发出警报。
入侵检测系统根据 IDS 传感器的放置位置进行广泛分类:网络或主机。
1.NIDS网络入侵检测系统
基于网络的入侵检测系统 (NIDS) 在 NIDS 传感器的帮助下监视和分析网络流量以发现可疑行为和真正的威胁。它仔细检查通过网络移动的所有数据包的内容和标头信息。
NIDS 传感器放置在网络中的关键点,以检查来自网络上所有设备的流量。例如,NIDS 传感器安装在防火墙所在的子网上,以检测拒绝服务 (DoS) 和其他此类攻击。
2.HIDS主机入侵检测系统
基于主机的入侵检测系统 (HIDS) 监视和分析企业网络上运行的设备的系统配置和应用程序活动。HIDS 传感器可以安装在任何设备上,无论是台式电脑还是服务器。
HIDS 传感器本质上拍摄现有系统文件的快照,并将其与以前的快照进行比较。他们寻找意外的更改,例如覆盖、删除和访问某些端口。因此,系统会向管理员发送警报,以调查可疑的活动。
Suricata是一款基于TCP/IP协议栈解析与安全数据分析引擎:
能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线PCAP处理,全面支持Snort规则;
Suricata使用强大而广泛的规则和签名语言检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁;
使用标准的输入和输出格式(如yaml和json),与现有的siem、splunk、logstash/elasticsearch、kibana和其他数据库等工具的集成变得很容易;
入侵检测规则更新活跃,具有较强的社区支持。
支持数据包解码:
IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE
Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN
HTTP,SSL,TLS,SMB,DCERPC,SMTP,FTP,SSH,DNS,Modbus,ENIP / CIP,DNP3,NFS,NTP,DHCP,TFTP,KRB5,IKEv2
#参考:https://blog.csdn.net/yrx0619/article/details/81267236https://bricata.com/resources/white-paper/bro-vs-snot-or-suricata/https://www.secpulse.com/archives/71603.htmlhttps://www.maliciouskr.cc/2019/06/22/%E4%BD%BF%E7%94%A8Suricata%E6%9E%84%E5%BB%BA%E7%BD%91%E7%BB%9C%E5%B1%82%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B/#suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。
✨Suricata安装
#centos7参考安装https://docs.suricata.io/en/latest/install.html#auto-setuphttps://zhuanlan.zhihu.com/p/564947481sudo yum install epel-release yum-plugin-copr -ysudo yum copr enable @oisf/suricata-7.0 -ysudo yum install suricata -y
✨Suricata修改配置启动测试
#修改配置 Suricata#查看本机ip以及网卡名称ifconfigcp /etc/suricata/suricata.yaml /etc/suricata/suricata.bakvim /etc/suricata/suricata.yaml#########################################################对于HOME_NET 虚拟机centos7的的 IP 地址 网卡为ens33HOME_NET:“[192.168.130.200]”- interface: ens33#default-rule-path属性设置为/etc/suricata/rules#########################################################更新 Suricata 规则集suricata-update -o /etc/suricata/rules#测试一下配置是否正常suricata -T -c /etc/suricata/suricata.yaml -v#添加开机自启动sudo systemctl enable suricatasudo systemctl start suricata#开始测试suricata -c /etc/suricata/suricata.yaml -i ens33curl http://testmynids.org/uid/index.html输出uid=0(root) gid=0(root) groups=0(root)cat /var/log/suricata/fast.logsudo yum install jq -yjq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json
原文始发于微信公众号(echoabced):基于网络流量的NIDS检测Suricata简单测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论