Suricata踩坑日记

admin 2024年7月17日08:16:00评论35 views字数 420阅读1分24秒阅读模式

背景

今天在网络环境测试写的规则是否能够正常告警,结果非常意外,那就是不告警T_T。去测试环境又试了一遍没有问题。那就只能是实网环境和测试环境有未知的差别。

排查过程

首先去100多G的flow日志里筛一下相关的日志,发现TCP会话状态是new,原因是timeout。这就很不合理,我木马客户端都已经上线执行命令了,怎么还能超时?
继续排查,在探针上把suricata引擎停掉,用tcpdump开启抓包,发现10.x.x.7到8.x.x.149的包都带了VLAN标签。而8.x.x.149到10.x.x.7都没有VLAN标签,这样的话,suricata会根据VLAN标签重组TCP会话,因此将这种现象识别成了2条TCP会话。

Suricata踩坑日记

Suricata踩坑日记

问题解决

在suricata配置文件中关闭基于vlan的会话追踪,即可忽略vlan标签重组会话。

  1. vlan:

  2. use-for-tracking:false

原文始发于微信公众号(Desync InfoSec):Suricata踩坑日记

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月17日08:16:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Suricata踩坑日记https://cn-sec.com/archives/2963580.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息