[development][security][suricata] suricata 使用与调研
0: OISF:https://oisf.net/
1: suricata是什么
https://suricata-ids.org/
2:安装
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation
2.1:部分依赖
检查一个文件的文件类型是什么:
http://www.darwinsys.com/file/
JSON库:
http://www.digip.org/jansson/
跨平台安全套装(Network Security Services):
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS
进程能力权限分析:
http://people.redhat.com/sgrubb/libcap-ng/
包处理有关:
https://github.com/sam-github/libnet
http://netfilter.org/ #就是iptables那一套,也就是说很可能依赖内核协议栈。
2.2: 安装
./configure --prefix=/root/suricata/ --enable-nfqueue --enable-lua
make
make install
ldconfig
make install-conf
make install-rules
2.3 设置
修改配置文件
2.4 运行
[root@dpdk suricata]# ./bin/suricata -c etc/suricata/suricata.yaml -i eth1 --init-errors-fatal
// -- :: - <Notice> - This is Suricata version 3.2. RELEASE
// -- :: - <Notice> - all packet processing threads, management threads initialized, engine started.
2.4.1 将本地真是流量 mirror 到虚拟机的eth1网卡上
使用 daemonlogger 工具
传送们: [daily][mirror][daemonlogger][tc] 我想把一个网卡(port A)的流量,镜像到虚拟机的一个网卡(port VA)上去
2.4.2 发现个有趣的哒。
我的konversion的irc通信,被识别成了Trojan
[root@dpdk suricata]# pwd
/root/suricata/var/log/suricata
[root@dpdk suricata]# cat fast.log
//-::03.159432 [**] [::] ET CNC Shadowserver Reported CnC Server IP group [**] [Classification:
A Network Trojan was detected] [Priority: ] {TCP} 192.168.20.56: -> 162.213.39.42:
[root@dpdk suricata]#
3. 读文档
用户手册: http://suricata.readthedocs.io/en/latest/
文档中提及的一些相关的库。
https://github.com/redis/hiredis
http://libevent.org/
https://github.com/maxmind/geoip-api-c/tree/master/libGeoIP
规则关键字 ip_proto: 所有IP协议列表 https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
cookie不能在http_header关键字中匹配,而需要在http_cookie中匹配。
https://filemagic.readthedocs.io/en/latest/guide.html
todo:http://suricata.readthedocs.io/en/latest/rules/file-keywords.html
[development][security][suricata] suricata 使用与调研的更多相关文章
- [DPI][suricata] suricata 配置使用
前文: [DPI] suricata-4.0.3 安装部署 至此, 我们已经拥有了suricata可以运行的环境了. 接下来,我们来研究一下它的功能, 首先,分析一下配置文件: /suricata/e ...
- [development][http][libhtp] suricata的http库--libhtp
首先,从文档来看, 它支持管道化的http, 也可以说过于重量级. 其次, 还没有达到产品化的稳定性. 并不是完全对应我的需求, http模块是一个整体性能相关模块. 应该按需定制更合理. 但是,功能 ...
- [development][security][modsecurity][nginx] nginx / modsecurity development things
接续前节:[security][modsecurity][nginx] nginx 与 modsecurity nginx开发手册:https://nginx.org/en/docs/dev/deve ...
- Suricata在ubuntu14.04环境下安装
简介 Suricata是一款高性能的网络IDS.IPS和网络安全监控引擎.它是由the Open Information Security Foundation开发,是一款开源的系统,现在的NIDS领 ...
- Suricata的规则解读(默认和自定义)
不多说,直接上干货! 见suricata官网 https://suricata.readthedocs.io/en/latest/rules/index.html 一.Suricata的规则所放位置 ...
- 基于CentOS6.5或Ubuntu14.04下Suricata里搭配安装 ELK (elasticsearch, logstash, kibana)(图文详解)
前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDS.IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐) 基于Ubuntu14.04下Suricata(一款高性能的网络ID ...
- 基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)
不多说,直接上干货! 为什么,要写这篇论文? 是因为,目前科研的我,正值研三,致力于网络安全.大数据.机器学习研究领域! 论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境.也不局限于真实物 ...
- Suricata, to 10Gbps and beyond(X86架构)
Introduction Since the beginning of July 2012, OISF team is able to access to a server where one int ...
- 配置suricata
yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake auto ...
随机推荐
- [MySQL]对于事务并发处理带来的问题,脏读、不可重复读、幻读的理解
一.缘由 众所周知MySQL从5.5.8开始,Innodb就是默认的存储引擎,Innodb最大的特点是:支持事务.支持行级锁. 既然支持事务,那么就会有处理并发事务带来的问题:更新丢失.脏读.不可重复 ...
- 基于jQuery图片遮罩滑动文字切换特效
基于jQuery图片遮罩滑动文字切换特效.这是一款jquery hover鼠标滑动选项卡切换透明背景遮罩文字显示特效.效果图如下: 在线预览 源码下载 实现的代码. html代码: <div ...
- Spring Session Redis
http://www.infoq.com/cn/articles/Next-Generation-Session-Management-with-Spring-Session
- openssl 非对称加密DSA,RSA区别与使用介绍
在日常系统管理工作中,需要作一些加解密的工作,通过openssl工具包就能完成我们很多需求! 1. openssl RSA 加解密 RSA是基于数论中大素数的乘积难分解理论上的非对称加密法,使用公私钥 ...
- Java知多少(102)多媒体基础
本节介绍 Java程序播放幻灯片和动画,播放声音和视频的方法. 播放幻灯片和动画 用实例说明播放幻灯片和动画的方法. [例 12-7]小应用程序先将幻灯片读入数组在存储,单击鼠标变换幻灯片,逐张显示. ...
- 响应式编程笔记三:一个简单的HTTP服务器
# 响应式编程笔记三:一个简单的HTTP服务器 本文我们将继续前面的学习,但将更多的注意力放在用例和编写实际能用的代码上面,而非基本的APIs学习. 我们会看到Reactive是一个有用的抽象 - 对 ...
- Oracle 11g:bin目录下3个特效权限的文件:root用户所有者 + s权限
- mysql添加字段并且设置默认值
ALTER TABLE task ADD uploadStatus TINYINT(4) DEFAULT '0' COMMENT '上传状态';
- 浅谈JAVA中HashMap、ArrayList、StringBuilder等的扩容机制
JAVA中的部分需要扩容的内容总结如下:第一部分: HashMap<String, String> hmap=new HashMap<>(); HashSet<Strin ...
- css3整理--background-origin
background-origin语法: background-origin: padding-box || border-box || content-box 参数取值: padding-box(p ...