Suricata简介

目录

Suricata简介
IDS/IPS简介
Suricata主要特点
Suricata基本架构
Suricata抓包性能
Suricata规则
Suricata自定义检测
Suricata http log自定义输出
Suricata单进程同时监听两个网口
问题
总结
参考

Suricata简介

Suricata是一个高性能的IDS、IPS和网络安全监控的引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)开发。

安装环境建议使用centos7/redhat7版本以上的操作系统,Suricata版本建议使用4.x以上,这样方便多线程,Hypersca,pfring等功能的使用。6版本的操作系统编译环境需要花时间取升级修复,不建议使用。

IDS/IPS简介

检测系统(Intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,根据预设的策略,在发现可疑传输时发出警报。
预防系统(Intrusion prevention system,简称“IPS”)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,一般位于防火墙和网络的设备之间,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。相对于IDS主能提供了中断防御功能。

Suricata主要特点

  • 支持从nfqueue中读取流量
  • 支持分析离线pcap文件和pcap文件方式存储流量数据
  • 支持ipv6
  • 支持pcap,af_packet,pfring,硬件卡抓包
  • 多线程
  • 支持内嵌lua脚本,以实现自定义检测和输出脚本
  • 支持ip信用等级
  • 支持文件还原
  • 兼容snort规则
  • 支持常见数据包解码:IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN, VXLAN
  • 支持常见应用层协议解码:HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5, IKEv2, SIP, SNMP, RDP

Suricata基本架构

运行模式

有三种运行模式,分别为single,workers,autofp。官方推荐性能最佳的运行模式为workers模式。
single模式:只有一个包处理线程,一般在开发模式下使用。

workers模式:多个包处理线程,每个线程包含完整的处理逻辑。

autofp模式:有多个包捕获线程,多个包处理线程。一般适用于nfqueue场景,从多个queue中消费流量来处理。

四种线程模块


包获取:包捕获
解码:对数据包和应用层协议解码
检测:通过规则或者自定义脚本对数据包进行检测
输出:输出检测结果和常规协议相关日志等

Suricata性能调优

抓包性能对比

  • 硬件捕获 > pfring zc > pfring > af-packet > pcap

调优

1,关闭网卡多队列功能
原因:一般使用流量镜像方式把流量镜像到服务器网卡,如果多队列的话,同一个tcp连接的数据有可能会被分散到不同的队列,由于时间的延迟可能导致有乱序可能。例如先收到了syn/ack,再收到syn,suricata会认为此流量无效而丢弃。如果做检测,则需要加缓冲和排序,代价较大。
2,关闭网卡lro,gro特性
原因:lro/gro导致将各种较小的包合并成大的“超级包”,从而破坏suricata对tcp连接的跟踪。
3,使用pfring zc模式捕获包
原因:pfring+zero copy提升性能,但是zero copy需要网卡驱动支持,目前我们使用pfring模式抓包,只需要kernel支持即可。
4,调整配置文件中内存相关配置,调大flow.memcap,stream.memcap,stream.reassembly.memcap
5,使用workers运行模式
6,调整配置文件中max-pending-packets为8192
7,suricata编译需要支持luajit(用于替换原始lua),Hyperscan高性能正则库,PF_RING高性能包捕获库

Suricata规则

1,兼容snort规则,具体可参考官方文档。
2,通过规则和内置的关键字实现对数据包的过滤和处理等。
3,Suricata4.x版本之后有自带的规则管理工具

Suricata自定义检测

支持通过lua脚本对数据包进行自定义检测,例如协议识别和异常流量识别等

Suricata http log自定义输出

支持通过lua脚本脚本获取http协议request和response的相关信息,从而可以输出http协议中的所以数据,例如header,request body,response body等。

Suricata单进程同时监听两个网口

通过修改suricata.yml配置文件可以实现,以pfring捕获方式为例,如下配置文件为同时捕获两个网口流量的配置:

pfring:
  - interface: em2
    threads: auto
    cluster-id: 81
    cluster-type: cluster_flow
  - interface: em4
    threads: auto
    cluster-id: 82
    cluster-type: cluster_flow

问题

1,发现流量里面有部分vlan数据的情况下,suricata不能正常输出http和dns等应用协议的日志
解决:
关闭如下配置

vlan:
    use-for-tracking: false

总结

目前,我们使用Suricata分析从交换机镜像过来的流量,Suricata的输出为两个:Suricata检测出来的alert异常事件和解码的所有应用协议的日志。以方便后续的存储和分析,以及告警处理。

参考

https://suricata-ids.org/features/all-features/
https://suricata.readthedocs.io/en/suricata-4.1.3/rules/index.html

原文地址:https://blog.51cto.com/leejia/2457743

时间: 2024-09-29 07:07:59

Suricata简介的相关文章

Android网络通讯简介

网络通信应该包含三部分的内容:发送方.接收方.协议栈.发送方和接收方是参与通信的主体,协议栈是发送方和接收方进行通信的契约.按照服务类型,网络通信可分为面向连接和无连接的方式.面向连接是在通信前建立通信链路,而通信结束后释放该链路.无连接的方式则不需要在通信前建立通信连接,这种方式不保证传输的质量. Android提供了多种网络通信的方式,如Java中提供的网络编程,在Android中都提供了支持.Android中常用的网络编程方式如下: 针对TCP/IP协议的Socket和ServerSock

微信红包的架构设计简介

@来源于QCon某高可用架构群整理,整理朱玉华. 背景:有某个朋友在朋友圈咨询微信红包的架构,于是乎有了下面的文字(有误请提出,谢谢) 概况:2014年微信红包使用数据库硬抗整个流量,2015年使用cache抗流量. 微信的金额什么时候算? 答:微信金额是拆的时候实时算出来,不是预先分配的,采用的是纯内存计算,不需要预算空间存储.. 采取实时计算金额的考虑:预算需要占存储,实时效率很高,预算才效率低. 实时性:为什么明明抢到红包,点开后发现没有? 答:2014年的红包一点开就知道金额,分两次操作

JSON 简介

ylbtech-JSON: JSON 简介 JSON:JavaScript Object Notation(JavaScript 对象表示法) JSON是存储和交换文本信息的语法,类似 XML. JSON 比 XML 更小.更快.更易解析. JSON 实例 { "employee":[ {"firstName":"John","lastName":"Doe"}, {"firstName"

Docker简介

Docker简介 什么是Docker: 正所谓Docker的英文本意为"搬运工",所以在我们的世界里,可以理解为Docker搬运的是装满任意类型的APP的集装箱,开发者可以通过Docker将APP变成一种标准化的.可移动植的.自动管理的组件.它用一种新的方式实现了轻量级的虚拟机,专业术语成为应用容器(Application Container) Docker的优势: 1.利用率高 ·Docker对系统资源的利用率很高,一台主机可以同时运行数千个Docker容器 2.可以快速的交付应用程

kafka入门:简介、使用场景、设计原理、主要配置及集群搭建(转)

问题导读: 1.zookeeper在kafka的作用是什么? 2.kafka中几乎不允许对消息进行"随机读写"的原因是什么? 3.kafka集群consumer和producer状态信息是如何保存的? 4.partitions设计的目的的根本原因是什么? 一.入门 1.简介 Kafka is a distributed,partitioned,replicated commit logservice.它提供了类似于JMS的特性,但是在设计实现上完全不同,此外它并不是JMS规范的实现.k

Quartz.NET简介及入门指南

Quartz.NET简介 Quartz.NET是一个功能完备的开源调度系统,从最小的应用到大规模的企业系统皆可适用. Quartz.NET是一个纯净的用C#语言编写的.NET类库,是对非常流行的JAVA开源调度框架 Quartz 的移植. 入门指南 本入门指南包括以下内容: 下载 Quartz.NET 安装 Quartz.NET 根据你的特定项目配置 Quartz 启动一个样例程序 下载和安装 你可以下载 zip 文件或使用 Nuget 程序包.Nuget 程序包只包含 Quartz.NET 运

ASP.Net简介、IIS服务器和Repeater重复器

简介:ASP.NET - 制作网站应用程序的技术 WebForm -出来时间比较早,敏捷.便捷开发,封装一些控件,慢慢发现一些控件做的挺好,真正使用没有那么敏捷 MVC -出来时间比较晚 什么东西? winform 界面 - 后台 - 数据库 共同组合出来的程序:ASP.NET 界面(HTML+CSS+JS) - 后台 - 数据库 运行机制:winform - 程序是安装在用户的电脑上,程序是运行在用户电脑上的.net Framework框架上的 ASP.NET - 通过浏览器向服务器发送请求,

CloudFoundry in 1 Box简介:PCF-Dev篇

在<CloudFoundry in 1 Box简介:Bosh-lite篇>我们介绍了Bosh-lite的架构和部署.在本篇中,我们将详细描述另一个CloudFoundry in 1 Box解决方案PCF-Dev. 1PCF-dev简介 PCF是Pivotal发行的Cloud Foundry商业版,PCF-Dev原名MicroPCF,是Pivotal为PCF的应用开发人员准备的一款App单虚拟机版的CloudFoundry.但是,麻雀虽小,五脏俱全.PCF-Dev虽然可以在仅仅一台虚拟式上即可运

1、elasticsearch简介

1.elasticsearch简介 中文帮助文档地址:http://es.xiaoleilu.com/ • Elasticsearch是一个基于Lucene的实时的分布式搜索和分析引擎.设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便.基于RESTful接口. – 普通请求是...get?a=1 – rest请求....get/a/1 • Elasticsearch的用户 – GitHub,Wikipedia,ebay等... • ES VS Solr – 接口 • 类似web