IDS&IPS-Suricata-介紹
阿新 • • 發佈:2021-12-17
0x01
Suricata介紹
- Suricata安裝
官方網站:https://suricata-ids.org/ 官方下載:https://suricata-ids.org/download/ 官方借鑑安裝方法:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation 安裝步驟: # 安裝前準備的依賴環境包 # yum install epel-release # sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel # 下載Suricata # wget http://www.openinfosecfoundation.org/download/suricata-4.1.4.tar.gz # tar -zxvf suricata-3.1.tar.gz # cd suricata-4.1.4 # ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua # make # make install # ldconfig
0x02
- 通過交換機配置映象流量
- 啟動Suricata 指定映象好的網絡卡介面
suricata -c /etc/suricata/suricat.yaml -i eth3 -D
- 配置好規則測試
0x03
- 配置引數
mkdir /etc/suricata/ cp -a /root/suricata-4.1.4/classification.config /etc/suricata/ cp -a /root/suricata-4.1.4/reference.config /etc/suricata/ cp -a /root/suricata-4.1.4/rules /etc/suricata/ cp -a /root/suricata-4.1.4/suricata.yaml /etc/suricata/ cp -a /root/suricata-4.1.4/threshold.config /etc/suricata/ vim /etc/suricata/suricata/yaml 修改新增符合實際業務的內網ip地址即可,然後啟動服務 suricata -c /etc/suricata/suricata.yaml -i enp0s8 -D
0x04
- 檢視日誌記錄
預設情況下不修改suricata.yaml配置檔案,預設的日誌目錄/var/log/suricata/
在此目錄下,當啟動服務後會生成如下4個檔案:
eve.json fast.log stats.log suricata.log
eve.json 用來檢視實際命中策略的日誌檔案,用作後期ELK讀取日誌使用
fast.log 同上是記錄實際命中策略的日誌檔案,根據不同的策略放在不同的檔案
stats.log 記錄Suricata的執行狀態
suricata.log 服務啟動成功與否的狀態資訊
0x05
- 後記
迷茫的人生,需要不斷努力,才能看清遠方模糊的志向!Suricata 可以用作IDS,IPS,通過交換機埠映象流量專門用作入侵檢測的用途,也可以蜜罐埋點,在IDS&IPS之前部署 蜜罐埋點,讓suricata接收到的流量是通過蜜罐進來的,這樣就確保進來的流量定可疑流量,需要重視並觀察。