0: OISF:https://oisf.net/

1: suricata是什么

  https://suricata-ids.org/

2:安装

  https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation

2.1:部分依赖

  检查一个文件的文件类型是什么:

    http://www.darwinsys.com/file/

  JSON库:

    http://www.digip.org/jansson/

  跨平台安全套装(Network Security Services):

    https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS

  进程能力权限分析:

    http://people.redhat.com/sgrubb/libcap-ng/

  包处理有关:

    https://github.com/sam-github/libnet

    http://netfilter.org/    #就是iptables那一套,也就是说很可能依赖内核协议栈。

2.2: 安装

./configure --prefix=/root/suricata/ --enable-nfqueue --enable-lua
make

make install

ldconfig
make install-conf
make install-rules

2.3  设置

  修改配置文件

2.4  运行

[root@dpdk suricata]# ./bin/suricata -c etc/suricata/suricata.yaml -i eth1 --init-errors-fatal

// -- :: - <Notice> - This is Suricata version 3.2. RELEASE

// -- :: - <Notice> - all  packet processing threads,  management threads initialized, engine started.

2.4.1  将本地真是流量 mirror 到虚拟机的eth1网卡上

  使用 daemonlogger 工具

  传送们: [daily][mirror][daemonlogger][tc] 我想把一个网卡(port A)的流量,镜像到虚拟机的一个网卡(port VA)上去

2.4.2  发现个有趣的哒。

  我的konversion的irc通信,被识别成了Trojan

[root@dpdk suricata]# pwd

/root/suricata/var/log/suricata

[root@dpdk suricata]# cat fast.log

//-::03.159432  [**] [::] ET CNC Shadowserver Reported CnC Server IP group  [**] [Classification: 
A Network Trojan was detected] [Priority: ] {TCP} 192.168.20.56: -> 162.213.39.42:

[root@dpdk suricata]#

3.  读文档

  用户手册: http://suricata.readthedocs.io/en/latest/

  文档中提及的一些相关的库。

  https://github.com/redis/hiredis

  http://libevent.org/

  https://github.com/maxmind/geoip-api-c/tree/master/libGeoIP

  规则关键字 ip_proto: 所有IP协议列表 https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

  cookie不能在http_header关键字中匹配,而需要在http_cookie中匹配。

  https://filemagic.readthedocs.io/en/latest/guide.html

  todo:http://suricata.readthedocs.io/en/latest/rules/file-keywords.html

  

[development][security][suricata] suricata 使用与调研的更多相关文章

  1. [DPI][suricata] suricata 配置使用

    前文: [DPI] suricata-4.0.3 安装部署 至此, 我们已经拥有了suricata可以运行的环境了. 接下来,我们来研究一下它的功能, 首先,分析一下配置文件: /suricata/e ...

  2. [development][http][libhtp] suricata的http库--libhtp

    首先,从文档来看, 它支持管道化的http, 也可以说过于重量级. 其次, 还没有达到产品化的稳定性. 并不是完全对应我的需求, http模块是一个整体性能相关模块. 应该按需定制更合理. 但是,功能 ...

  3. [development][security][modsecurity][nginx] nginx / modsecurity development things

    接续前节:[security][modsecurity][nginx] nginx 与 modsecurity nginx开发手册:https://nginx.org/en/docs/dev/deve ...

  4. Suricata在ubuntu14.04环境下安装

    简介 Suricata是一款高性能的网络IDS.IPS和网络安全监控引擎.它是由the Open Information Security Foundation开发,是一款开源的系统,现在的NIDS领 ...

  5. Suricata的规则解读(默认和自定义)

    不多说,直接上干货! 见suricata官网 https://suricata.readthedocs.io/en/latest/rules/index.html 一.Suricata的规则所放位置 ...

  6. 基于CentOS6.5或Ubuntu14.04下Suricata里搭配安装 ELK (elasticsearch, logstash, kibana)(图文详解)

    前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDS.IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐) 基于Ubuntu14.04下Suricata(一款高性能的网络ID ...

  7. 基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)

    不多说,直接上干货! 为什么,要写这篇论文? 是因为,目前科研的我,正值研三,致力于网络安全.大数据.机器学习研究领域! 论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境.也不局限于真实物 ...

  8. Suricata, to 10Gbps and beyond(X86架构)

    Introduction Since the beginning of July 2012, OISF team is able to access to a server where one int ...

  9. 配置suricata

    yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake auto ...

随机推荐

  1. Socket网络编程--聊天程序(6)

    这一小节将增加一个用户的结构体,用于保存用户的用户名和密码,然后发给服务器,然后在服务器进行判断验证.这里就有一个问题,以前讲的就是发送字符串是使用char类型进行传输,然后在服务器进行用同样是字符串 ...

  2. pandas DataFrame(2)-行列索引及值的获取

    pandas DataFrame是二维的,所以,它既有列索引,又有行索引 上一篇里只介绍了列索引: import pandas as pd df = pd.DataFrame({'A': [0, 1, ...

  3. BigDecimal提供了8种舍入方式

    BigDecimal提供了8种舍入方式 1.ROUND_UP:舍入远离零的舍入模式.在丢弃非零部分之前始终增加数字(始终对非零舍弃部分前面的数字加1).注意,此舍入模式始终不会减少计算值的大小. 2. ...

  4. python中的selectors模块

    它的功能与linux的epoll,还是select模块,poll等类似:实现高效的I/O multiplexing,  常用于非阻塞的socket的编程中: 简单介绍一下这个模块,更多内容查看 pyt ...

  5. PLSQL存储过程(基础篇)-转

    我不是专门的开发人员,但存储过程又是很重要的知识,为了能够很好的记忆,现把这些基础知识总结一下.存储过程可以实现代码的充分共享,提高系统性能. 基础篇       知识回顾 如果经常使用特定操作,哪么 ...

  6. 开源项目收集:博客系统solo

    前言 一个好的项目,我不会吝啬于推荐之语.找了好久,想要一个最简单的个人博客.由于个人不怎么会写前端页面,怎么也看不到漂亮的设计.没有漂亮的前台都不知道后台需要写一些什么! 这个项目至少目前满足了我的 ...

  7. MySQL常见错误码及说明

    1005:创建表失败1006:创建数据库失败1007:数据库已存在,创建数据库失败<=================可以忽略1008:数据库不存在,删除数据库失败<=========== ...

  8. bootstrap入门基础

    1.字体 text-left text-center text-right text-lowercase 小写 text-uppercase 大写 text-capitalize 首字母大写 2.表格 ...

  9. ctrl c 中文字符到 vnc 里,中文字符已经被转码

    为了测试程序对多语言字符的支持情况,我找来一段中文和北欧的文字,希望把这些文字上传到elasticsearch,并能正确显示. 首先测试了北欧文字,一切OK. 但是中文复制到 VNC 客户端(Linu ...

  10. 如何在Ubuntu 14.04 中使用Samba共享文件

    1.安装 Samba 和图形配置工具 sudo apt-get install samba samba-common system-config-samba python-glade2 gksu 2. ...