【等保工具箱】开源IDPS系统分享

1.前言

本次再来为大家介绍一款具备网络入侵防护以及网络入侵检测的开源工具,此款工具满足您建立自己的网络入侵防御系统,工具本身可视化一般,但是可以结合ELK等套件,实现网络入侵防御检测,防御,到分析一体化安全防护体系,是您值得拥有的开源安全工具之一。

2.工具介绍

Suricata是一个高性能的网络ID、IP和网络安全监控引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)拥有。Suricata由OISF开发

工具官网:https://suricata-ids.org/

3.工具安装

3.1 依赖环境准备

推荐采用centos 7.3.1611版本作为宿主机操作系统
yum update
reboot

完成系统更新

sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel \
zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make \
libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo \
lz4-devel

完成依赖环境安装

下载解压Suricata

下载地址: https://suricata-ids.org/download/

图片[1]-【等保工具箱】开源IDPS系统分享-学玩技术网

3.2 工具安装

1.程序配置安装

1.tar -xvzf suricata-4.1.8.tar.gz
2.cd suricata-4.1.8
3. ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua

2. 编译安装

make
sudo make install
sudo ldconfig

3.自动安装配置文件

make install-conf 
make install-rules
make install-full
图片[2]-【等保工具箱】开源IDPS系统分享-学玩技术网
suricata

到此安装文完成,常用配置文件如下

配置suricata.yaml目录 : /etc/suricata/suricata.yaml
规则suricata.rules目录: /var/lib/suricata/rules/suricata.rules

4.工具实用

通过ifconfig,查看自己有哪些网口

现在举例基于旁挂模式使用suricata进行入侵检测

执行:

./suricata -c /etc/suricata/suricata.yaml -i wlan0 --init-errors-fatal
图片[3]-【等保工具箱】开源IDPS系统分享-学玩技术网
执行完成后,你可以在以下位置查看入侵检测信息

cd /var/log/suricata
tail -f stats.log eve.json//or tail -n 50 stats.log

eve.json为攻击入侵检测日志信息

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发
joryhe的头像-学玩技术网

昵称

取消
昵称表情代码图片