基于主机的入侵检测系统,网络连接失败,基于主机的入侵检测系统,网络连接错误
什么是Suricata Suricata是一款免费、开源、成熟、高性能、稳定的网络威胁检测引擎系统功能,包括实时入侵检测(IDS)、在线入侵防御(online intrusion prevention)和网络安全监控(network security monitoring)。NSM离线pcap根据高度可扩展的规则和特征语言处理Suricata以过滤网络通信。而LUA脚本语言的输出文件格式是YAML或JSON,可以用社区驱动的方式由其他数据库或second Suricata开发。重复特征IDS/IPS完整特征语言用于描述已知威胁和恶意行为,有助于版本和新功能的维护。它还兼容EmergingThreatsSuricaruleset(证据点和英特尔规则)和vrt规则集(snort规则)。Barnyard和Barnyard2工具高性能支持单个Suricata示例,引擎包含多线程编码和硬件加速(pf_ring),af_packet可以根据自动协议检测自动扫描端口协议,恶意软件和通信通道NSM:一个IDS以上SuriCata可以记录所有http请求链接。行业标准输出的主要日志输出格式是Eve,包括所有协议事件、告警输出(可以指定主机或子段,也可以设置全局规则或个别规则)和流量。FreeBSD、OpenBSD、macOS/Mac OS X和Windows配置YAML被记录为常规文件格式,以便于阅读。TCP/IP引擎支持IPV6。隧道支持包括:重做,IP-IP,IP6-IP4,IP4-IP6,GRE,VXLAN,Geneve,会话跟踪和流重配置支持,IP分片重配置,IPv4,IPv4 PPPoE,Raw,SLL,VLAN,QINQ,MPLS,ERSPAN,VXLAN,Geneve,http,HTTP。TLS,包括对各种协议解码的支持。SNMP,RDP,RFB,mqtt http engine提供了一个基于libhtp的有状态http解析器,包括URL分析,请求和响应头,cookie,用户代理请求方法和状态码,基于协议关键字的主机检测引擎,Hyperscan,快速模式和预处理,文件匹配,JA3/JA3S/HASH匹配,以及其他许多功能。对于规则,初始化数据包访问高性能捕获模式:AF_PACKET、PF_RING、NETMAP标准模式:NFLOG、PCAPIPS模式:Netfilter、NETMAP、af\
Packet Capture
AF_PACKET和PF_RING通过流的对称哈希(5tuple)传递给线程。
RSS技术通过将流量分配到网卡上的不同队列来进行流量分配,但非对称加密存在双向流量检测错误的缺点(如TCP)。
因此,通常会配置rss队列或使用对称哈希算法。此外,如果您不启用网卡流量卸载,卸载将无法跟踪特定的流状态。举个例子吧。
pf _ ring:1 rssqueueandusecluster-type cluster _ fl flow 。disablenicoffloadingexcepthorx/tx csum
人力超级霸主
hyperscanisahigh-performancemultipleregexmatchinglibrary,insuricataicanbeused to perform multipath matching,33555
apt-getinstallcmakeragelapt-getinstalllibboost-devsudoapt-get python-devli bbz 2-dev wget 3359 dl . bin tray.com/boom boost _ 1 _ 66 _ 0。tar.gztarxvzfboost _1_ 66 _0。tar.gzcd boost _1_ 66 _0。/bootstrap . sh-prefix=hyperscanhyperscanmkdirbuilddbuildcmake-d Build _ static _ and _ shared=1。/cmake-d BBARED在编译需要显示的suricata时添加命令。带-lib hs-includes=/usr/local/include/hs/带-lib hs-libraries=/usr/local/lib
首先安装一下hyperscan:
如果您有足够的RAM,请考虑中的以下选项
苏里卡塔。YAML检测3360配置文件:自定义自定义值3360
至客户端组3360200至服务器组:200 sgh-MPM-上下文:自动
检查-递归-限制:3000
High Performance Confifiguration
每8s将数据包数据写入stats.log文件。
即使关闭了suricata,也可以看到收发包数和丢包数之和。
根据拍摄模式,显示的数量可能会有所不同。
inaf _ packet模式:kernel _ packets sthenumberofpackets正确
senttouserspacekernel _ dropsithenumberofpackets that have
beendiscardedinsteadofbeingsenttouserspaceinpf _ ring模式:
kernel _ packets sthetotalnumberofpackets seenbypf _ ring
kernel _ dropsithenumberofpackets已被丢弃
发送到用户空间
Statistics
可以通过配置柏克莱封包过滤器文件来忽略特定类型的通信
回显“无主机1.2.3. 4”捕获过滤器。柏克莱封包过滤器
Suri cata-tien S5 F0-f捕获过滤器。柏克莱封包过滤器
语法类似于不是(主机ip2或ip2或tnet/24)或传输控制协议或udp)
或者,也可以遵循细尾獴属规则。
传递/丢弃IP 1。2 .3 .4 any any(msg:" passalltrafficcfrom/to 1。2 .3 .4”sid:1;)
通过设置坦克激光瞄准镜(坦克激光瞄准器的缩写)关键字,可以释放所有安全超文本传输协议握手后的流量,而无需检查。
应用层。协议。TLS。加密-处理
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。