前期博客

基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)

1、自己编写一条规则,规则书写参考snort规则(suricata完全兼容snort规则)
   例如以百度网站为例:
   [root@suricata rules]# cat test.rules 

[root@suricata rules]# pwd

/etc/suricata/rules

[root@suricata rules]# ls

app-layer-events.rules   emerging-activex.rules          emerging-icmp.rules            emerging-scada.rules        emerging-web_server.rules         smtp-events.rules

botcc.portgrouped.rules  emerging-attack_response.rules  emerging-imap.rules            emerging-scan.rules         emerging-web_specific_apps.rules  stream-events.rules

botcc.rules              emerging-chat.rules             emerging-inappropriate.rules   emerging-shellcode.rules    emerging-worm.rules               suricata-1.2-prior-open.yaml

BSD-License.txt          emerging.conf                   emerging-info.rules            emerging-smtp.rules         gen-msg.map                       suricata-1.3-enhanced-open.txt

ciarmy.rules             emerging-current_events.rules   emerging-malware.rules         emerging-snmp.rules         gpl-2.0.txt                       suricata-1.3-etpro-etnamed.yaml

classification.config    emerging-deleted.rules          emerging-misc.rules            emerging-sql.rules          http-events.rules                 suricata-1.3-open.yaml

compromised-ips.txt      emerging-dns.rules              emerging-mobile_malware.rules  emerging-telnet.rules       LICENSE                           tor.rules

compromised.rules        emerging-dos.rules              emerging-netbios.rules         emerging-tftp.rules         modbus-events.rules               unicode.map

decoder-events.rules     emerging-exploit.rules          emerging-p2p.rules             emerging-trojan.rules       rbn-malvertisers.rules

dns-events.rules         emerging-ftp.rules              emerging-policy.rules          emerging-user_agents.rules  rbn.rules

drop.rules               emerging-games.rules            emerging-pop3.rules            emerging-voip.rules         reference.config

dshield.rules            emerging-icmp_info.rules        emerging-rpc.rules             emerging-web_client.rules   sid-msg.map

[root@suricata rules]# vim test-baidu.rules
 

[root@suricata rules]# cat test-baidu.rules

alert http any any -> any any (msg:"hit baidu.com...";content:"baidu"; reference:url, www.baidu.com;)
   将文件命名为test.rules,存放在目录/etc/suricata/rules下(直接存放在该目录下rules里面)。
 
 
 
  同时,还要把这个自定义配置文件(如我这里已经改名了,为local.rules)放到配置文件里,才可以生效。
 

 
 
2、启动suricata 
[root@suricata ~]# sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml    -i eth0   -s /etc/suricata/rules/test.rules
 
 
 
 
 
3、打开虚拟机中火狐浏览器,访问www.baidu.com

 
 
 
 
     此时,查看log文件/var/log/suricata目录下

[root@suricata ~]# cd /var/log/suricata

[root@suricata suricata]# pwd

/var/log/suricata

[root@suricata suricata]# ls

certs  eve.json  fast.log  files  stats.log  suricata.log

[root@suricata suricata]#
   fast.log显示数据包匹配的条数

[root@suricata suricata]# cat fast.log

//-::51.526950  [**] [::] SURICATA DNS malformed request data [**] [Classification: (null)] [Priority: ] {UDP} 192.168.80.2: -> 192.168.80.86:

//-::00.603193  [**] [::] SURICATA DNS malformed request data [**] [Classification: (null)] [Priority: ] {UDP} 192.168.80.2: -> 192.168.80.86:

//-::00.641131  [**] [::] SURICATA DNS malformed request data [**] [Classification: (null)] [Priority: ] {UDP} 192.168.80.2: -> 192.168.80.86:

//-::00.860060  [**] [::] SURICATA DNS malformed request data [**] [Classification: (null)] [Priority: ] {UDP} 192.168.80.2: -> 192.168.80.86:

//-::56.624866  [**] [::] SURICATA DNS malformed request data [**] [Classification: (null)] [Priority: ] {UDP} 192.168.80.2: -> 192.168.80.86:

//-::00.111989  [**] [::] SURICATA DNS malformed request data [**] [Classification: (null)] [Priority: ] {UDP} 192.168.80.2: -> 192.168.80.86:

  192.168.80.2是我192.168.80.86(即suricata主机的网关)
 
 
 
 

[root@suricata suricata]# ls

certs  eve.json  fast.log  files  stats.log  suricata.log

[root@suricata suricata]# cat suricata.log

// -- :: - <Notice> - This is Suricata version 3.1 RELEASE

// -- :: - <Warning> - [ERRCODE: SC_ERR_NO_RULES()] - No rule files match the pattern /etc/suricata/rules/tls-events.rules

// -- :: - <Warning> - [ERRCODE: SC_ERR_NO_RULES()] - No rule files match the pattern /etc/suricata/rules/test.rules

// -- :: - <Error> - [ERRCODE: SC_ERR_NO_RULES()] - No rules loaded from /etc/suricata/rules/test.rules

// -- :: - <Notice> - all  packet processing threads,  management threads initialized, engine started.

// -- :: - <Notice> - Signal Received.  Stopping engine.

// -- :: - <Notice> - Stats for 'eth0':  pkts: , drop:  (0.00%), invalid chksum:

[root@suricata suricata]# pwd

/var/log/suricata

[root@suricata suricata]#
   
  其生产的报警日志文件,就是fast.log。
 
 
 
 

使用 Suricata 进行入侵监控(一个简单小例子访问百度)的更多相关文章

  1. 关于ExpandableListView用法的一个简单小例子

    喜欢显示好友QQ那样的列表,可以展开,可以收起,在android中,以往用的比较多的是listview,虽然可以实现列表的展示,但在某些情况下,我们还是希望用到可以分组并实现收缩的列表,那就要用到an ...

  2. php+jquery+ajax+json简单小例子

    直接贴代码: <html> <title>php+jquery+ajax+json简单小例子</title> <?php header("Conte ...

  3. 跨站脚本功攻击,xss,一个简单的例子让你知道什么是xss攻击

    跨站脚本功攻击,xss,一个简单的例子让你知道什么是xss攻击 一.总结 一句话总结:比如用户留言功能,用户留言中写的是网页可执行代码,例如js代码,然后这段代码在可看到这段留言的不同一户的显示上就会 ...

  4. C#利用事件与委托进行窗体间传值简单小例子

    本篇博客是利用C#委托与事件进行窗体间传值的简单小例子 委托与事件的详细解释大家可以参照张子阳的博客: http://www.tracefact.net/CSharp-Programming/Dele ...

  5. OpenCV学习(2)——一个简单的例子

    光说不练假把式,来看一个简单的例子,了解了解OpenCV.这个小demo没有几行代码,作用是显示项目目录下面的一张图片. #include <opencv2\opencv.hpp> #in ...

  6. 用一个简单的例子来理解python高阶函数

    ============================ 用一个简单的例子来理解python高阶函数 ============================ 最近在用mailx发送邮件, 写法大致如 ...

  7. Spring-Context之一:一个简单的例子

    很久之前就想系统的学习和掌握Spring框架,但是拖了很久都没有行动.现在趁着在外出差杂事不多,就花时间来由浅入深的研究下Spring框架.Spring框架这几年来已经发展成为一个巨无霸产品.从最初的 ...

  8. 关于apriori算法的一个简单的例子

    apriori算法是关联规则挖掘中很基础也很经典的一个算法,我认为很多教程出现大堆的公式不是很适合一个初学者理解.因此,本文列举一个简单的例子来演示下apriori算法的整个步骤. 下面这个表格是代表 ...

  9. 扩展Python模块系列(二)----一个简单的例子

    本节使用一个简单的例子引出Python C/C++ API的详细使用方法.针对的是CPython的解释器. 目标:创建一个Python内建模块test,提供一个功能函数distance, 计算空间中两 ...

随机推荐

  1. Android +NDK+eclipse+opengl ES2.0 开启深度測试

    參考:https://www.opengl.org/discussion_boards/showthread.php/172736-OpenGL-ES-Depth-Buffer-Problem 环境: ...

  2. POST &amp; GET &amp; Ajax 全解

    GET&POST&Ajax 全解 一.POST和GET的差别 GET:GET方法提交数据不安全,数据置于请求行.客户段地址栏可见:GET方法提交的数据限制大小在255个字符之内.參数直 ...

  3. 算法4-10:BST平衡二叉树的删除操作

    偷懒方法 public void delete(Key key) { insert(key, null); } 这样的方法就是将key相应的值覆盖成null.当读取该键值的时候将会返回null. 这是 ...

  4. Buildroot用户指南【转】

    本文转载自:http://www.voidcn.com/blog/bytxl/article/p-4727302.html 第一章        关于Buildroot Buildroot是一个包含M ...

  5. linux下jiffies定时器和hrtimer高精度定时器【转】

    本文转载自:http://blog.csdn.net/dosculler/article/details/7932315 一.jiffies定时器,HZ=100,精度只能达到10ms. 注:采用jif ...

  6. OSD锁定怎么解锁?

    方法是这样的: 先按中间的建关掉显示器电源,关了显示器后按住左键,在按中间的建开机,这时屏幕闪一下就解锁了.在按中间的建打开显示器就行了. 加锁的方法和解锁一样

  7. hdu-4118 Holiday's Accommodation(树形dp+树的重心)

    题目链接: Holiday's Accommodation Time Limit: 8000/4000 MS (Java/Others)     Memory Limit: 200000/200000 ...

  8. KMP算法在字符串中的应用

    KMP算法是处理字符串匹配的一种高效算法 它首先用O(m)的时间对模板进行预处理,然后用O(n)的时间完成匹配.从渐进的意义上说,这样时间复杂度已经是最好的了,需要O(m+n)时间.对KMP的学习可以 ...

  9. AutoIT: ControlCommand是一个非常重要的指令

    ControlCommand可以确定窗口中的复选框是否选中状态,然后可以对这些复选框进行操作.可以对ComboBox和ListBox进行操作如选择下拉框的某个选项 if WinExists(" ...

  10. Bootstrap中的各种下拉菜单

    @*基本下拉菜单与按钮下拉菜单的样式完全一致.不过,基本的下拉菜单使用<div class="dropdown">包裹,所有要换行.而按钮式下拉菜单<div cl ...