[development][security][suricata] suricata 使用與調研

時間 2020-07-26

標籤 development security suricata 使用調研简体版

原文原文鏈接

0： OISF：https://oisf.net/html

1： suricata是什麼git

　　https://suricata-ids.org/github

2：安裝redis

　　https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installationapi

2.1：部分依賴安全

　　檢查一個文件的文件類型是什麼：cookie

　　　　http://www.darwinsys.com/file/ide

　　JSON庫：工具

　　　　http://www.digip.org/jansson/post

　　跨平臺安全套裝（Network Security Services）：

　　　　https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS

　　進程能力權限分析：

　　　　http://people.redhat.com/sgrubb/libcap-ng/

　　包處理有關：

　　　　https://github.com/sam-github/libnet

　　　　http://netfilter.org/ #就是iptables那一套，也就是說極可能依賴內核協議棧。

2.2：安裝

./configure --prefix=/root/suricata/ --enable-nfqueue --enable-lua

make
make install
ldconfig

make install-conf
make install-rules

2.3 設置

　　修改配置文件

2.4 運行

[root@dpdk suricata]# ./bin/suricata -c etc/suricata/suricata.yaml -i eth1 --init-errors-fatal
29/6/2017 -- 10:30:16 - <Notice> - This is Suricata version 3.2.2 RELEASE
29/6/2017 -- 10:30:21 - <Notice> - all 8 packet processing threads, 4 management threads initialized, engine started.

2.4.1 將本地真是流量 mirror 到虛擬機的eth1網卡上

　　使用 daemonlogger 工具

　　傳送們： [daily][mirror][daemonlogger][tc] 我想把一個網卡(port A)的流量，鏡像到虛擬機的一個網卡(port VA)上去

2.4.2 發現個有趣的噠。

　　個人konversion的irc通訊，被識別成了Trojan

[root@dpdk suricata]# pwd
/root/suricata/var/log/suricata
[root@dpdk suricata]# cat fast.log 
06/29/2017-17:08:03.159432  [**] [1:2404008:4668] ET CNC Shadowserver Reported CnC Server IP group 9 [**] [Classification: 
A Network Trojan was detected] [Priority: 1] {TCP} 192.168.20.56:33230 -> 162.213.39.42:7000
[root@dpdk suricata]#