Suricata(Ubuntu)的安装以及使用过程(超详细)

原创 已于 2025-03-25 11:25:06 修改 · 5.6k 阅读 · 49 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #linux #网络安全 #ddos #安全威胁分析

于 2023-12-30 00:44:37 首次发布

前景:

老师让我们使用网络入侵检测工具进行模拟攻击入侵,在已经尝试配置snort,Sguil,OSSEC HIDS不行的情况下,历时三天,终于换成Suricata之后就配置成功了!

什么是IDS

入侵检测是通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析, 发觉入侵行为, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象. 入侵检测是防火墙的合理补充. 有助于对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全结构的完整性。入侵检测系统IDS(Intrusion Detection System)可以包括硬件和软件, 通常由数据源,分析引擎和响应3部分组成,根据分析引擎所采用的技术,可分为异常检测和误用检测. IDS多采用主动防御技术,用于监视、分析用户及系统活动,对系统构造和弱点审计,识别已知进攻或并报警,对异常行为模式进行记录,统计分析,评估重要系统和数据文件的完整性,操作系统的审计跟踪管理,并识别用户违反安全策略的行为等. 一个好的入侵检测系统除了上述功能外,还应该管理、配置简单,操作容易.

小提示:本次安装的Ubuntu版本为Ubuntu22.04.3LTS,使用xshell进行连接,如果不会使用xshell的可以参考大佬:

https://blog.csdn.net/qq_44222849/article/details/105043739

安装过程

Ubuntu安装入门

在开始之前,小伙伴们一定要给自己的虚拟机拍个快照!然后将系统包更新到最新版本

apt update -y
apt upgrade -y

更新所有包后,运行以下命令来安装所有必需的依赖项:

apt install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev libjansson4 pkg-config libnspr4-dev libnss3-dev liblz4-dev rustc cargo python3-pip python3-distutils

apt install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0

安装 Suricata源代码

使用以下命令下载最新版本的 Suricata:

wget https://www.openinfosecfoundation.org/download/suricata-6.0.8.tar.gz

下载完成后,使用以下命令解压缩下载的文件:

tar xzf suricata-6.0.8.tar.gz

导航到提取的目录并使用以下命令对其进行配置:

cd suricata-6.0.8
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

输出结果如下:

接下来,使用以下命令安装 Suricata:

make
make install-full

输出结果如下(make的时间特别长,需要耐心等待噢):

Ubuntu 存储库安装 Suricata

使用以下命令安装所有依赖项:

apt install gnupg2 software-properties-common curl wget git unzip -y

使用以下命令添加 Suricata 存储库:

add-apt-repository ppa:oisf/suricata-stable --yes

使用以下命令更新存储库缓存:

apt update

验证 Suricata 包:

apt-cache policy suricata

输出结果如下:

以下命令安装 Suricata:

apt install suricata jq

验证suricata包:

suricata --build-info

对Suricata进行配置

编辑 Suricata 配置文件并定义网络接口和网络:

nano /etc/suricata/suricata.yaml

如果不会对nano进行配置,可以找到对应的目录下输入:

sudo chmod 777 suricata.yaml

因为本身suricata.yaml是只读的,所以要提权

手动找到,并且更改以下行:

    HOME_NET: "[10.0.2.0/24]"

    EXTERNAL_NET: "!$HOME_NET"

af-packet:
  - interface: eth0
#        - sip
    sip:
    enabled: no

保存并关闭文件,然后使用以下命令更新 Suricata 配置:

suricata-update

验证 Suricata 配置文件:

suricata -T -c /etc/suricata/suricata.yaml -v

输出结果如下:

对验证suricata的验证可以参考:

https://blog.csdn.net/yeshankuangrenaaaaa/article/details/100533857

使用以下命令启动并启用 Suricata 服务:

systemctl enable --now suricata

使用以下命令检查 Suricata 服务:

systemctl status suricata

验证 Suricata

禁用网络接口上的数据包卸载功能:

ethtool -K ens33 gro off lro off

使用以下命令停止 Suricata:

systemctl stop suricata
rm -rf /var/run/suricata.pid

手动运行 Suricata:

suricata -D -c /etc/suricata/suricata.yaml -i ens33

使用kail的hping3命令对Ubuntu进行模拟攻击:

hping3 -S -p 80 --flood --rand-source suricata-ip -I ens33 -c 50

接下来就是漫长的泛洪攻击了,可以提前结束噢

回到 Suricata 服务器并检查 Suricata 日志文件:

tail -f /var/log/suricata/fast.log

解释一下为什么不是eth0而是ens33,需要ifconfig查看你的网卡,我的eth0被禁用了没有去修改,所以使用了ens33

写在最后

安装这个suricata也花了好多好多时间,都是结合了很多大佬的文章才配置成功的,一定一定要给虚拟机进行快照,不然每次重新安装都要耗费很多精力去卸载环境。

suricata匹配从入门到精通()----suricata安装配置及使用
leeezp的博客
08-15 35万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
基于Ubuntu坏境下的Suricata坏境搭建及监控预警
weixin_51525416的博客
08-28 3626
开源工具利器之基于网络的IDS:Suricata坏境搭建 基于Ubuntu坏境下的Suricata坏境搭建及监控预警
Suricata用户指南:从入门到精通的安全流量分析
最新发布
gitblog_01175的博客
06-08 383
Suricata用户指南:从入门到精通的安全流量分析 Suricata作为一款高性能的开源网络安全监控工具,在入侵检测(IDS)、入侵防御(IPS)网络安全监控(NSM)领域广受好评。本文将系统性地介绍Suricata的核心功能和使用方法,帮助安全从业者快速掌握这一强大工具。 一、Suricata基础认知 Suricata是一个多线程的网络威胁检测引擎,具有以下显著特点: 实时流量分析能力,支...
Suricataubuntu安装
weixin_42838512的博客
06-13 558
suricataubuntu安装
Suricata安装教程
u011311291的博客
01-23 5213
1.安装必要库 (1)检查是否安装了jansson,这是Suricata输出的日志文件eve.json必备库 可参考:彻底解决Suricata Eve-log support not compiled in 问题 (2)安装pfring 2.安装Suricata https://suricata-ids.org/download/下载安装(1)解压安装包 tar -zxf suricata-4...
如何在 Linux 系统上安装 Suricata 入侵检测系统
weixin_33738578的博客
05-02 982
如何在 Linux 系统上安装 Suricata 入侵检测系统 随着安全威胁的不断发生,入侵检测系统(IDS)在如今的数据中心环境中显得尤为必要。然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统,它将 CPU 密集型的深...
Suricata安装与基本使用
zhuge_long的专栏
08-03 950
alert http $EXTERNAL_NET any $HOME_NET 80 (msg:"多次404,疑似扫描";Suricata来源于经典的NIDS系统Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。
Ubuntu 20.04虚拟化实战:提升工作效率的技术探讨
首先概述了虚拟化技术的基本概念,然后详细阐述了如何在Ubuntu 20.04环境下搭建KVM和VirtualBox虚拟化环境,并对比了不同虚拟化技术的优劣。接着,文章探讨了Linux容器技术(LXC)和Docker的使用方法,并展
Ubuntu环境下的OpenACS部署策略:保障系统安全与性能提升
![ubuntu环境下搭建OpenACS手册....本文首先介绍OpenACS的基本概念及其在Ubuntu系统中的作用,随后探讨了Ubuntu系统安全基础,并详细说明如何搭建和配置OpenACS环境。文章还涵盖了性能调优、安全保障措施,以及OpenACS
Ubuntu服务器版基础与进阶:打造稳定高效的服务器环境
Ubuntu服务器版概述与安装 ## 1.1 Ubuntu服务器版概述 Ubuntu Server是基于Ubuntu桌面操作系统的一个服务器版本,它以强大的社区支持、稳定的性能和丰富的开发工具而著称。作为一个开源Linux发行版,它适用于企业...
Ubuntu网络问题全攻略:从配置到排除的终极指南
![Ubuntu网络问题全攻略:从配置到排除的终极指南](https://img-blog.csdnimg.cn/direct/9b9015031e95426f97e1777368cbd721.png) ...在Ubuntu中,我们可以使用命令行界面(CLI)或图形用户界面(GUI)进行配置
Ubuntu专业版案例分析:企业应用部署到运维的最佳实践
![Ubuntu专业版案例分析:企业应用部署到运维的最佳实践]...与标准版Ubuntu相比,专业版增强了安全性、兼容性以及集成的企业级支持服务,使其成为商业环境中理想的桌面和服务器平台。 #
Ubuntu安装suricata
startkz的博客
10-21 2245
因为现在的工作主要是基于suricata这个开源软件来建立具有协议解析功能的防火墙,所以本篇简单介绍一下如何在Ubuntu16.04下安装suricata,之后会写一些关于suricata开发的文章。 1.安装所需依赖 在为系统构建Suricata之前,运行以下命令以确保拥有安装所需的一切: sudo apt-get -y install libpcre3 libpcre3-dbg libpcre...
suricata安装,配置,运行
weixin_45504433的博客
03-08 1054
1.suricata安装 ./configure ./make ./make install-full 2.配置 /usr/local/etc/suricata/suricata.yaml 配置syslog输出为yes 3.运行 suricata -c suricata.yuml -s ./rules -i ens0 配置系统日志输出: /etc/rsyslog.d/rsyslog.conf 启动rsyslog失败 (个人重启时遇到问题,配置文件第36行注释掉后重启成功) 删除/var/lib/rsyslo
Ubuntu 16.04 安装 Suricata
bai00的专栏
12-05 956
1. apt-get install build-essential 2. apt-get install pkg-config 3. apt-get install libpcre3-dev libpcap-dev libcap-ng-dev libmagic-dev  libyaml-dev zlib1g-dev liblz4-dev libjansson-dev cargo 4. ca...
基于Ubuntu坏境下的Suricata坏境搭建
yyytucj的博客
02-20 376
至此,你已经在Ubuntu环境下搭建好了Suricata环境。请将"版本号"替换为你需要的Suricata版本。
suricata安装使用
qq_43671947的博客
08-13 6167
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
Suricata 下载 安装使用---- windows系统、linux系统
zengliguang的专栏
09-20 1604
替换为实际要监控的网络接口名称,如。
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 5740
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
win系统 suricata安装使用
04-25
### Windows 系统下 Suricata安装使用 #### 1. 下载 Suricata 访问 Suricata 官方网站(Home - Suricata),找到适用于 Windows 的 Suricata 版本并下载。确保所选版本与系统的架构(32 位或 64 位)相匹配[^1]。 #### 2. 安装 Suricata 运行已下载的安装程序,按照安装向导逐步完成安装过程。在此期间,可选择自定义选项,如安装目录、是否创建桌面快捷方式等。一般情况下,保留默认设置即可满足基本需求[^1]。 #### 3. 启动 Suricata Windows 上启动 Suricata 主要有两种方式:命令行和快捷方式。以下是通过命令行的方式启动的具体步骤: - 打开命令提示符(需以管理员身份运行)。 - 导航至 Suricata 的 `bin` 文件夹所在路径,例如: ```cmd cd "C:\Program Files\Suricata\bin" ``` - 使用以下命令启动 Suricata 并实时监控指定网络接口的数据流量: ```cmd suricata -c "C:\Program Files\Suricata\etc\suricata.yaml" -i <网络接口名称> ``` 参数说明: - `-c`: 指定配置文件路径。 - `-i`: 指定要监听的网络接口名称[^3]。 #### 4. 配置文件详解 Suricata 的核心功能由其配置文件控制,默认位于 `C:\Program Files\Suricata\etc\suricata.yaml`。编辑此文件可以实现更高级的功能定制,例如启用特定规则集、优化性能参数以及设定目标操作系统的检测策略(host-os-policy)。对于后者,合理配置能够显著提升检测效率[^4]。 #### 5. 数据分析模式 Suricata 支持多种数据分析模式,在 Windows 环境中常见的有两类: - **离线分析 Pcap 包**: 对预先捕获的网络数据包进行回放分析。 - **实时分析 Pcap 包**: 动态监测当前网络活动中的潜在威胁。 --- ### 示例代码 以下为一个简单的批处理脚本示例,用于自动化启动 Suricata 并记录日志: ```batch @echo off set SURICATA_BIN="C:\Program Files\Suricata\bin\suricata.exe" set CONFIG_FILE="C:\Program Files\Suricata\etc\suricata.yaml" set INTERFACE=Ethernet %SURICATA_BIN% -c %CONFIG_FILE% -i %INTERFACE% if errorlevel 1 ( echo Error occurred while starting Suricata. ) else ( echo Suricata started successfully on interface %INTERFACE%. ) pause ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值