1.前言
本次再来为大家介绍一款具备网络入侵防护以及网络入侵检测的开源工具,此款工具满足您建立自己的网络入侵防御系统,工具本身可视化一般,但是可以结合ELK等套件,实现网络入侵防御检测,防御,到分析一体化安全防护体系,是您值得拥有的开源安全工具之一。
2.工具介绍
Suricata是一个高性能的网络ID、IP和网络安全监控引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)拥有。Suricata由OISF开发
工具官网:https://suricata-ids.org/
3.工具安装
3.1 依赖环境准备
推荐采用centos 7.3.1611版本作为宿主机操作系统
yum update
reboot
完成系统更新
sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel \
zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make \
libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo \
lz4-devel
完成依赖环境安装
下载解压Suricata
下载地址: https://suricata-ids.org/download/
![图片[1]-【等保工具箱】开源IDPS系统分享-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/suricata20200917112509959.png)
3.2 工具安装
1.程序配置安装
1.tar -xvzf suricata-4.1.8.tar.gz
2.cd suricata-4.1.8
3. ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua
2. 编译安装
make
sudo make install
sudo ldconfig
3.自动安装配置文件
make install-conf
make install-rules
make install-full
![图片[2]-【等保工具箱】开源IDPS系统分享-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/suricata20200917113544688.png)
到此安装文完成,常用配置文件如下
配置suricata.yaml目录 : /etc/suricata/suricata.yaml
规则suricata.rules目录: /var/lib/suricata/rules/suricata.rules
4.工具实用
通过ifconfig,查看自己有哪些网口
现在举例基于旁挂模式使用suricata进行入侵检测
执行:
./suricata -c /etc/suricata/suricata.yaml -i wlan0 --init-errors-fatal
![图片[3]-【等保工具箱】开源IDPS系统分享-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/suricata20200917120709469.png)
cd /var/log/suricata
tail -f stats.log eve.json//or tail -n 50 stats.log
eve.json为攻击入侵检测日志信息
onskynet1月前0
刷新看看,看看看看boss33446661月前0
boss33446661月前0
boss33446661月前0
的的 的 订单 的订单 的guoguo2月前0
看看看看这个guoguo2月前0
好好好好好好好guoguo2月前0
好好好好好好好好好好guoguo2月前0
好好好好好好好好好好