IDS&IPS-Suricata-介绍

0x01

Suricata介绍

Suricata安装

 官方网站：https://suricata-ids.org/
官方下载：https://suricata-ids.org/download/
官方借鉴安装方法：https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation
 
安装步骤：
# 安装前准备的依赖环境包
# yum install epel-release
# sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make  libnetfilter_queue-devel lua-devel
# 下载Suricata
# wget http://www.openinfosecfoundation.org/download/suricata-4.1.4.tar.gz
# tar -zxvf suricata-3.1.tar.gz
# cd suricata-4.1.4
# ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua
 
# make 
# make install  
# ldconfig

0x02

通过交换机配置镜像流量
启动Suricata 指定镜像好的网卡接口

 suricata -c /etc/suricata/suricat.yaml -i eth3 -D

配置好规则测试

0x03

配置参数

 mkdir /etc/suricata/
cp -a /root/suricata-4.1.4/classification.config /etc/suricata/
cp -a /root/suricata-4.1.4/reference.config /etc/suricata/
cp -a /root/suricata-4.1.4/rules /etc/suricata/
cp -a /root/suricata-4.1.4/suricata.yaml /etc/suricata/
cp -a /root/suricata-4.1.4/threshold.config /etc/suricata/
 
vim /etc/suricata/suricata/yaml
修改添加符合实际业务的内网ip地址即可，然后启动服务
 
suricata -c /etc/suricata/suricata.yaml -i enp0s8 -D

0x04

查看日志记录

 默认情况下不修改suricata.yaml配置文件，默认的日志目录/var/log/suricata/
在此目录下，当启动服务后会生成如下4个文件：
 
eve.json  fast.log  stats.log  suricata.log
 
eve.json 用来查看实际命中策略的日志文件，用作后期ELK读取日志使用
fast.log 同上是记录实际命中策略的日志文件，根据不同的策略放在不同的文件
stats.log 记录Suricata的运行状态
suricata.log 服务启动成功与否的状态信息

0x05

后记

Suricata 可以用作IDS，IPS，通过交换机端口镜像流量专门用作入侵检测的用途，也可以蜜罐埋点，在IDS&IPS之前部署蜜罐埋点，让suricata接收到的流量是通过蜜罐进来的，这样就确保进来的流量定可疑流量，需要重视并观察。

posted @ 2021-12-17 11:33 皇帽讲绿帽带法技巧阅读(444) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

阅读排行：
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布：重大改进与新特性概览！
· AI与.NET技术实操系列（二）：开始使用ML.NET
· 单线程的Redis速度为什么快？

历史上的今天：
2020-12-17 HTB-靶机-RedCross
2020-12-17 HTB-靶机-Vault

公告

昵称：皇帽讲绿帽带法技巧
园龄： 10年3个月
粉丝： 90
关注： 6

+加关注

2025年3月

日

一

二

三

四

五

六

随笔分类 (487)

安全(487)

皇帽讲绿帽带法技巧

IDS&IPS-Suricata-介绍

0x01

Suricata介绍

0x02

0x03

0x04

0x05

公告

搜索

常用链接

我的标签

随笔分类 (487)

随笔档案 (571)

阅读排行榜

评论排行榜

推荐排行榜

最新评论

	官方网站：https://suricata-ids.org/
	官方下载：https://suricata-ids.org/download/
	官方借鉴安装方法：https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation

	安装步骤：
	# 安装前准备的依赖环境包
	# yum install epel-release
	# sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel
	# 下载Suricata
	# wget http://www.openinfosecfoundation.org/download/suricata-4.1.4.tar.gz
	# tar -zxvf suricata-3.1.tar.gz
	# cd suricata-4.1.4
	# ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua

	# make
	# make install
	# ldconfig

	mkdir /etc/suricata/
	cp -a /root/suricata-4.1.4/classification.config /etc/suricata/
	cp -a /root/suricata-4.1.4/reference.config /etc/suricata/
	cp -a /root/suricata-4.1.4/rules /etc/suricata/
	cp -a /root/suricata-4.1.4/suricata.yaml /etc/suricata/
	cp -a /root/suricata-4.1.4/threshold.config /etc/suricata/

	vim /etc/suricata/suricata/yaml
	修改添加符合实际业务的内网ip地址即可，然后启动服务

	suricata -c /etc/suricata/suricata.yaml -i enp0s8 -D

	默认情况下不修改suricata.yaml配置文件，默认的日志目录/var/log/suricata/
	在此目录下，当启动服务后会生成如下4个文件：

	eve.json fast.log stats.log suricata.log

	eve.json 用来查看实际命中策略的日志文件，用作后期ELK读取日志使用
	fast.log 同上是记录实际命中策略的日志文件，根据不同的策略放在不同的文件
	stats.log 记录Suricata的运行状态
	suricata.log 服务启动成功与否的状态信息