suricata 原始碼分析_01
https://blog.51cto.com/leejia/2457743
Suricata簡介
Suricata是一個高效能的IDS、IPS和網路安全監控的引擎。它是開源的,由一個社群經營的非營利基金會開放資訊保安基金會(OISF)開發。
安裝環境建議使用centos7/redhat7版本以上的作業系統,Suricata版本建議使用4.x以上,這樣方便多執行緒,Hypersca,pfring等功能的使用。6版本的作業系統編譯環境需要花時間取升級修復,不建議使用。
IDS/IPS簡介
檢測系統(Intrusion detection system,簡稱“IDS” 是一種對網路傳輸進行即時監視,根據預設的策略,在發現可疑傳輸時發出警報。
預防系統(Intrusion prevention system,簡稱“IPS”)
Suricata主要特點
支援從nfqueue中讀取流量
支援分析離線pcap檔案和pcap檔案方式儲存流量資料
支援ipv6
支援pcap,af_packet,pfring,硬體卡抓包
多執行緒
支援內嵌lua指令碼,以實現自定義檢測和輸出指令碼
支援ip信用等級
支援檔案還原
相容snort規則
支援常見資料包解碼:IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN, VXLAN
支援常見應用層協議解碼:HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5, IKEv2, SIP, SNMP, RDP