我配置了 suricata.yaml 文件来检测任何接口中的入侵,并且效果很好没有NordVPN。
当我通过访问以下网站测试 Suricata 时:
curl http://testmynids.org/uid/index.html
的结果sudo tail /var/log/suricata/fast.log | grep 2100498:
08/14/2023-22:28:35.580451 [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 64.12.213.57:80 -> 192.168.15.17:3354
但是,当我连接到 NordVPN(nordvpn connect us-ca55)时,没有检测到测试流量。
关于如何正确设置 yaml 配置文件有什么想法吗?我的直觉告诉我它只是一两行代码,但我找不到在哪里。
我曾经ip a找到过接口,尝试过其中 3 个,any但没有检测到连接 VPN 的测试流量。
我正在使用 Ubuntu 22.04。
答案1
我解决了这个问题。问题出在 NordVPN 使用的端口和接口上。
以下代码行suricata.yaml解决了该问题:
port-groups:
FILE_DATA_PORTS: "[$HTTP_PORTS,110,143,443,51820]"
TCP_PORTS: "[1723,1701]"
UDP_PORTS: "[500,4500,1194]"
interface: nordlynx