【简介】
数据包捕获是一个重要组件,可以实施网络入侵检测系统 (IDS) 并执行网络安全监视 (NSM)。 我们可以借助开源 IDS 工具来处理数据包捕获,并检查潜在网络入侵和恶意活动的签名。 使用网络观察程序提供的数据包捕获,可以分析网络中是否存在任何有害入侵或漏洞,Suricata 就是这样的一种开源工具,它是一个 IDS 引擎,可使用规则集来监视网络流量,每当出现可疑事件时,它会触发警报。 Suricata 提供多线程引擎,意味着它能够以更高的速度和效率执行网络流量分析,在本文中将会介绍到如何在 ECS 中使用Suricata来对网络进行入侵检测,同时并根据Suricata中给定的威胁规则匹配的的数据包出发报警,以此达到实时安全威胁监测。
操作步骤
一.远程连接云服务器
1.使用远程工具登陆到服务器中
windows系统可使用xshell或者Putty登陆,Mac系统可直接使用terminal登陆,当然,你也可以直接阿里云云平台控制面板上直接进行VNC连接,本篇文章使用Mac系统下terminal工具直接远程连接,其他的小伙伴如果是使用的是Xshell工具的话,连接方式也是一样的,不过你需要先打开Xshell软件,在其命令行中执行如下命令登陆到云服务器中即可
ssh root@服务器的IP地址 注:@后面是要填写自己ECS服务器的IP地址
例如:ssh root@192.168.1.1
②.Are you sure you want to continue connecting ?####它在问我们是否要继续连接?我们的回答是?“YES”,并回车
③.输入自己创建服务器时设置的密码~
④.当出现"root@的主机变成服务器的主机名"的时候证明已经连接到服务器内部
二.下载安装 Suricata
1.使用Apt命令下载Suricata
sudo add-apt-repository ppa:oisf/suricata-stable
2.使用apt update 的命令进行更新
sudo apt update
3.使用apt install 安装suricata jq
sudo apt install suricata jq
安装过程如下图所示:
4.安装完成后,使用sudo suricata --build-info命令来看Suricata 版本
sudo suricata --build-info
具体版本信息如下图所示
三.Suricata基本配置
1.使用Ip a 命令 检查 Suricata 在哪个接口上运行以及该接口的 IP,具体如下所示
2.查看suricata.yaml配置文件
suricata.yaml配置文件里很多的配置项目,我们主要关注HOME_NET变量的设置和网络接口的配置及Af-packet配置,如下是Af-packet配置详情
四.下载 Emerging Threats 规则集
1.目前,我们尚未创建运行 Suricata 所需的任何规则。 如果想要检测特定的网络威胁,可以创建自己的规则,本文使用可免费访问的 Emerging Threats 规则集,如下图所示,我们使用如下命令下载该规则集
wgethttps://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
tar zxf emerging.rules.tar.gz
2.下载完毕以后对其tar.gz文件进行解压缩
3.解压缩完毕以后,并将其复制到目录rules中
4.如下图是下载解压并复制到rules目录中文件
五.使用 Suricata 处理数据包捕获
1.安装规则后,Suricata 可以正常运行,我们对其进行重新启动下:
sudo systemctl restart suricata
2.我们执行如下命令,来对suricata的日志进行滚轮触发
sudo tail -f /var/log/suricata/fast.log
3. 我们在服务器中使用Curl 命令请求下地址进行验证
curl http://testmyids.com/curl http://www.baidu.com/
4.如下图所示,我们在日志中看到以下包括时间戳和系统的 IP的访问记录输出
