suricata 原文记录

如何在 Linux 系统上安装 Suricata 入侵检测系统

编译自:http://xmodulo.com/install-suricata-intrusion-detection-system-linux.html作者: Dan Nanni
原创:LCTT https://linux.cn/article-6985-1.html译者: Ping Yang
本文地址:https://linux.cn/article-6985-1.html

2016-02-07 10:10    评论: 1 收藏: 5

本文导航

随着安全威胁的不断发生,入侵检测系统(IDS)在如今的数据中心环境中显得尤为必要。然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统,它将 CPU 密集型的深度包检测工作并行的分配给多个并发任务来完成。这样的并行检测可以充分利用多核硬件的优势来轻松提升入侵检测系统的吞吐量。在这方面有两个知名的开源项目,分别是 Suricata 和 Bro

这个教程里,我会向大家演示如何在 Linux 服务器上安装和配置 Suricata 入侵检测系统。

在 Linux 上安装 Suricata IDS

让我们从源文件来构建 Suricata,但在此之前,需要按如下所示先安装几个依赖包。

在 Debian, Ubuntu 或者 Linux Mint 操作系统上安装依赖包

  1. $ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev

在 CentOS, Fedora 或者 RHEL 操作系统上安装依赖包

  1. $ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel

一旦将所有依赖包安装完毕,我们就可以继续安装 Suricata 了。

首先从 http://suricata-ids.org/download/ 下载 Suricata 源代码,然后构建它。撰写这篇文章的时候,其最新版本号为 2.0.8 。

  1. $ wget http://www.openinfosecfoundation.org/download/suricata-2.0.8.tar.gz
  2. $ tar -xvf suricata-2.0.8.tar.gz
  3. $ cd suricata-2.0.8
  4. $ ./configure --sysconfdir=/etc --localstatedir=/var

以下是配置信息的样例。

  1. Suricata Configuration:
  2. AF_PACKET support: yes
  3. PF_RING support: no
  4. NFQueue support: no
  5. NFLOG support: no
  6. IPFW support: no
  7. DAG enabled: no
  8. Napatech enabled: no
  9. Unix socket enabled: yes
  10. Detection enabled: yes
  12. libnss support: yes
  13. libnspr support: yes
  14. libjansson support: yes
  15. Prelude support: no
  16. PCRE jit: yes
  17. LUA support: no
  18. libluajit: no
  19. libgeoip: no
  20. Non-bundled htp: no
  21. Old barnyard2 support: no
  22. CUDA enabled: no

现在可以编译、安装了。

  1. $ make
  2. $ sudo make install

Suricata 源代码带有默认的配置文件。按照如下方法安装这些默认配置文件即可。

  1. $ sudo make install-conf

正如你所料,如果没有IDS规则集的话,Suricata 什么用也没有。幸好 Makefile 为我们提供了 IDS 规则集的安装选项。安装方法如下。

  1. $ sudo make install-rules

以上的规则安装命令会从 EmergingThreats.net 上下载可用的社区规则集快照,并且将其存储在 /etc/suricata/rules 目录下。

首次配置 Suricata IDS

现在到了配置 Suricata 的时候了。配置文件的位置是 /etc/suricata/suricata.yaml。参照以下命令,用文本编辑器打开这个文件。

  1. $ sudo vi /etc/suricata/suricata.yaml

文件中有一些运行所需的基本配置。

default-log-dir关键字指定 Suricata 日志文件所在的位置。

  1. default-log-dir: /var/log/suricata/

vars部分下方,你会发现几项对 Suricata 来说很重要变量。HOME_NET变量需要指定 Suricata 检查的网络。被分配给 EXTERNAL_NET 变量的 !$HOME_NET 代表除本地网络之外的其他网络。XXX_PORTS变量用来辨别不同服务所用到的端口号。需要注意的是无论使用什么端口,Suricata 都可以自动检测 HTTP 流量。所以是不是正确指定端口就显得没那么重要了。

  1. vars:
  2. HOME_NET: "[192.168.122.0/24]"
  3. EXTERNAL_NET: "!$HOME_NET"
  4. HTTP_PORTS: "80"
  5. SHELLCODE_PORTS: "!80"
  6. SSH_PORTS: 22

host-os-policy 部分用于防御利用操作系统网络栈的自身行为来逃避检测的一些知名攻击手段(例如:TCP reassembly)。作为对策,通过针对目标操作系统而对检测引擎算法进行微调,现代 IDC 提供了“基于目标”的检测手段。因此,如果你知道某台主机运行了什么操作系统的话,将这个信息提供给 Suricata 就可以大幅提高检测的成功率。这就是 host-os-policy 存在的意义。本例中,默认的 IDC 策略是 Linux 系统。如果针对某个 IP 地址没有指定操作系统信息,Suricata 会默认应用基于 Linux 系统的检测策略。如下,当捕获到对 192.168.122.0/28 和 192.168.122.155通讯时,Suricata 就会应用基于 Windows 系统的检测策略。

  1. host-os-policy:
  2. # These are Windows machines.
  3. windows: [192.168.122.0/28, 192.168.122.155]
  4. bsd: []
  5. bsd-right: []
  6. old-linux: []
  7. # Make the default policy Linux.
  8. linux: [0.0.0.0/0]
  9. old-solaris: []
  10. solaris: ["::1"]
  11. hpux10: []
  12. hpux11: []
  13. irix: []
  14. macos: []
  15. vista: []
  16. windows2k3: []

在 threading 部分下,你可以为不同的 Suricata 线程指定 CPU 关联。默认状态下,CPU 关联 是被禁止使用的 (set-cpu-affinity: no),这意味着 Suricata 会分配其线程到所有可用的 CPU 核心上。Suricata 会默认为每一个 CPU 核心创建一个检测线程。你可以通过指定 detect-thread-ratio: N 来调整此行为。此处会创建 N*M 个检测线程,M 代表 CPU 核心总数。

  1. threading:
  2. set-cpu-affinity: no
  3. detect-thread-ratio: 1.5

通过以上对线程的设置,Suricata 会创建 1.5*M 个检测线程,M 是系统的 CPU 核心总数。

如果你想对 Suricata 配置有更多的了解,可以去翻阅默认配置文件。里边配有有大量的注释以供你清晰理解。

使用 Suricata 进行入侵监控

现在是时候让 Suricata 跑起来了,但在这之前还有一个步骤需要去完成。

当你使用 pcap 捕获模式的时候,强烈建议关闭 Suricata 监听网卡上的任何的包卸载(例如 LRO/GRO)功能。这些功能会干扰包的实时捕获行为。

按照以下方法关闭 eth0 接口的 LRO/GRO 功能。

  1. $ sudo ethtool -K eth0 gro off lro off

这里要注意,在使用某些网卡的情况下,你会看到如下警告信息。忽略它们就行了,这些信息只不过告诉你你的网卡不支持 LRO 功能而已。

  1. Cannot change large-receive-offload

Suricata 支持许多运行模式。运行模式决定着 IDC 会使用何种线程。以下命令可以查看所有 可用的运行模式

  1. $ sudo /usr/local/bin/suricata --list-runmodes

Suricata 使用的默认运行模式是 autofp(auto flow pinned load balancing自动流绑定负载均衡 的缩写)。这个模式下,来自某一个流的包会被分配到一个单独的检测线程中。这些流会根据未被处理的包的最低数量来分配相应的线程。

最后,让我们将 Suricata 运行起来,看看它表现如何。

  1. $ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth0 --init-errors-fatal

本例中,我们在一个8核心系统中监控 eth0 网络接口。如上所示,Suricata 创建了13个包处理线程和3个管理线程。包处理线程中包括一个 PCAP 包捕获线程,12个检测线程(由8*1.5得出)。这表示 IDS 内的1个包捕获线程均衡负载到12个检测线程中。管理线程包括1个流管理和2个计数/统计相关线程。

以下是一个关于Suricata处理的线程截图(由 htop 绘制)。

Suricata 检测日志存储在 /var/log/suricata 目录下。

  1. $ tail -f /var/log/suricata/fast.log
  1. 04/01/2015-15:47:12.559075 [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46997
  2. 04/01/2015-15:49:06.565901 [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46317
  3. 04/01/2015-15:49:06.566759 [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46317

日志也可以提供 Json 格式以便导入:

  1. $ tail -f /var/log/suricata/eve.json
  1. {"timestamp":"2015-04-01T15:49:06.565901","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}
  2. {"timestamp":"2015-04-01T15:49:06.566759","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}

总结

这篇教程中,我为大家演示了如何在一台多核 Linux 服务器上安装 Suricata 入侵检测系统。不同于单线程的 Snort IDS ,Suricata 可以很容易的从多核硬件的多进程特性所带来的好处中获益。定制 Suricata 来最大化其效能和检测范围是一个很好的主意。Suricata 的粉丝们维护着一个 在线 Wiki,如果你打算将 Suricata 部署到你的环境中,我强烈建议你去那儿取取经。

如果你现在已经开始使用 Suricata 了的话,把你的经验也分享出来吧。


via: http://xmodulo.com/install-suricata-intrusion-detection-system-linux.html

作者:Dan Nanni 译者:mr-ping 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

原文地址:https://www.cnblogs.com/zafu/p/8459877.html

时间: 2024-08-02 19:44:43

suricata 原文记录的相关文章

Suricata配置文件说明

本系列文章是Suricata官方文档的翻译加上自己对其的理解,部分图片也是来自那篇文章,当然由于初学,很多方面的理解不够透彻,随着深入后面会对本文进行一定的修正和完善. Suricata使用Yaml作为其配置文件的格式,关于Yaml可以参考YAML-维基百科. 其中Suricata默认的配置文件是suricata.yaml,以硬编码的形式写在源代码中,当然也可以在执行的时候添加-c+指定位置的yaml文 件来自定义配置文件.配置文件的第一行内容是%YAML 1.1表示其使用了Yaml 1.1的语

记录sql语句的执行记录,用于分析

原文:记录sql语句的执行记录,用于分析 SET STATISTICS PROFILE ONSET STATISTICS IO ONSET STATISTICS TIME ONGO --这之间是要执行的脚本select * from [UserTable]GO --这之间是要执行的脚本SET STATISTICS PROFILE OFFSET STATISTICS IO OFFSET STATISTICS TIME OFF 可以分析出cpu开销,IO开销,时间开销 备忘

记录.NET Core部署到Linux之发布项目到Linux(2)

原文:记录.NET Core部署到Linux之发布项目到Linux(2) 1.选择文件夹发布项目到本地,通过Xftp上传文件到/home/wwwroot下:下面具体介绍下 2.通过Xftp直接拖拽压缩包到linux下,通过命令cd /home/wwwroot目录下;然后输入 unzip 压缩包名字(例如core.zip).如果压缩文件像这种包含了一个文件夹,解压出来会看不到.目前不知道为什么.这种就是正常的, 3.如果提示找不到命令unzip:请先安装yum install -y unzip z

记录.NET Core部署到Linux之.NET Core环境搭建(1)

原文:记录.NET Core部署到Linux之.NET Core环境搭建(1) 1.在安装.NET之前,您需要注册Microsoft密钥.注册产品存储库和安装所需的依赖项. 启动我们的虚拟机,输入以下命令: sudo rpm -Uvh https://packages.microsoft.com/config/rhel/7/packages-microsoft-prod.rpm 2.安装.NET SDK 输入命令:sudo yum update ;按y回车 3.输入命令sudo yum inst

使用Kotlin对ViewGroup的视图进行函数使操作

原文标题:Functional operations over Views in ViewGroup using Kotlin 原文链接:http://antonioleiva.com/functional-operations-viewgroup-kotlin/ 原文作者:Antonio Leiva(http://antonioleiva.com/about/) 原文发布:2015-07-29 集合.迭代.数组.序列 ... 所有这些共用一套好用的函数,这组函数可帮助对它们的元素进行转换.排序

马化腾内部分享:产品经理的必修课

这是马化腾2014年在内部分享会上的一段讲话.有员工整理后在极小的圈子里放了出来.下面为原文(记录可能稍有出入). 腾讯善于做产品.世人皆知.但事实上我们很多其它时候应该少提"产品"和"功能".多谈"服务"和"特性".我们要少谈.我要一个产品,它要包含哪些功能.应该多想.我要提供一个服务.这个服务有哪些特性,它的总体服务流程是如何的,它的总体服务成本是多少. 我举个样例,以一台ATM机为例. 第一个问题:ATM机提供什么服务?

javascript dom编程艺术 第2版

W3C 推出了标准化的DOM, 就是我们现在常用方法, 比如获取一个元素:document.getElementById(id) 语法用JavaScript编写的脚本,都是由一系列指令构成,这些指令叫做语句(statement). 只要按照正确的语法编写出来的语句才能得到正确的解释.JavaScript 每条语句以换行符或分号视为结束. 如下为两条语句:first statementsecond statement也可以放在一行:first statment; second statment;建

Suricata规则配置

Suricata 规则配置 IDS/IPS/WAF IPS.IDS和WAF分别是入侵防御系统和入侵检测系统以及WEB应用防火墙的简称,很多人说这些玩意不就是盒子吗已经过时了,其实不是,SIEM其实是有效的正规的打法,对于内网安全监控室非常必要的东西.之前大家的方式都是摒弃盒子思维,觉得盒子不靠谱防御不了真正的攻击行为.这样的理解难说不是国内众多盒子厂商(本人待过很多)走低价竞争路线的一个恶性的结果.其实在数据驱动安全的几天,盒子的作用绝不是简单的匹配规则阻断攻击这么简单的了,而是成为内网信息收集

在pfSense上设置Suricata

在pfSense上设置Suricata Suricata是一个开源的入侵检测系统(IDS).Suricata有几个优点.1.它是多线程的,所以你可以运行一个实例,它将平衡每个处理器上的负载处理.2. Suricata会在流量开始时自动识别最常见的协议,允许规则编写者将规则写入协议,而不是预期的端口.3.Suricata可以识别网络上数以千计的文件类型,并且可以标记要提取的文件,以便将文件写入磁盘并使用描述捕获情况和流程的元数据文件.Suricata的另一个优点是它与Snort规则兼容,因此虽然它