我想知道是否有人有处理产生 90 kpps 或更高流量的单个流的经验。我的难题是,我使用的工具(Zeek、Suricata)能够正确地看到整个流,但是如果单个连接超过“工作线程”的最大处理速率,这两个实用程序都无法处理更大的流量。由于单个连接能够产生这种流量,因此我不知道负载平衡方法和配套软件会从 Zeek 和 Suricata 产生类似的结果信息(可以理解,这对于 Zeek 来说不那么重要,因为看到整个连接并不是绝对必要的,但是让一个巨大的连接填满 rx 环会导致丢失后续连接) 我希望有人可能有处理这种情况的经验,或者知道每个“工作者/线程”速率的处理限制...
我在 VirtualBox 中运行了两个虚拟机。一个运行 Windows 7,另一个运行 Kali Linux。主机通过 LAN 连接到运行桥接接口的 Raspberry Pi,因此它可以使用 Suricata IDS 监控流量。设置如下: LAN <-> Raspberry Pi <-> PC(VM 1 和 VM 2) 我想通过 Raspberry Pi 监控往返于两个虚拟机的流量。我已将两个虚拟机配置为使用桥接接口,因此我假设它们的流量将通过我 PC 上的 LAN 端口,然后到达 Raspberry Pi。然而事实并非如此...
%20%2B%20Passenger%205.0.10%20%E6%97%A0%E6%B3%95%E8%BF%90%E8%A1%8C.png)
尝试配置 Snorby(ruby 应用程序)以与 Apache/2.4.12 和 Passenger 5.0.10 一起使用。 ——我已经成功从自制软件 apache 和 Passenger 安装了。 brew install httpd24 passenger -- 创建/etc/apache/other/passenger.conf(按照 Homebrew 中的说明): LoadModule passenger_module /usr/local/opt/passenger/libexec/buildout/apache2/mod_passen...
我想测试我的 Android 手机的安全性,所以我让它在后台运行一天的 tcpdump。 然后我将生成的 pcap 发送到virustotal.com。他们正在使用 snort 和 suricata 扫描 pcap 文件。 在报告中我提醒ET MOBILE MALWARE Google Android Device HTTP Request 我如何获取有关触发警报的数据包的更多信息?我主要对远程 IP 感兴趣,但内容也会有所帮助 - 我正在尝试确定哪个应用程序触发了警报等。 我有一台 Linux 机器可以进一步分析文件,但不知道从哪里开始。我假设如果...
使用 Mac OS X Yosemite 10.10.3。 我正在尝试使用 让 Suricata 在启动时以守护进程模式启动launchctl。这是我的/Library/LaunchDaemons/org.suricata.Suricata.plist: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">...
我正在尝试在 mac OS X Yosemite 上使用 nfqueue 配置 suricata。当我运行 configure 时,进程报告存在几个必需项,但无法编译。它最终以“错误:未找到 pcre.h...”中止。 完整配置输出如下: sudo ./configure --enable-nfqueue checking for a BSD-compatible install... /usr/bin/install -c checking whether build environment is sane... yes checking for a ...
我正在尝试开始苏里卡塔我在 Mac OS X 上安装了 2.0.7,但遇到了问题。知道哪里出了问题以及如何修复吗?以下是我看到的错误: $ sudo suricata -c /etc/suricata/suricata.yaml -i en2 10/4/2015 -- 20:00:50 - <Notice> - This is Suricata version 2.0.7 RELEASE /usr/share/file/magic/animation, 712: Warning: Printf format `l' is not valid ...
我需要从这个网址下载 suricata 的最新规则: http://rules.emergingthreats.net/blockrules/ 我正在尝试根据不同的新兴规则和 snort 规则编写自己的规则。尝试用alert替换drop。 我甚至无法下载所有规则,因为 apache 2.2.22 的rules.emergingthreats.net配置以某种方式违反了wget。 我的命令如下: # wget -m --user-agent="Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/...
我有以下 3 台 PC 通过以太网连接到路由器: PC1 – 192.168.1.101(Linux Ubuntu) PC2 – 192.168.1.100 (Windows) PC3 – 192.168.1.1 (Windows) 所有 PC 均可互相 ping 通。 PC1 已在 IDS 模式下安装 Suricata。它包含一条简单的 ping 规则: alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;) 我通过在 PC1 中输入以下命令来启动 Suri...
我在 Linux Ubuntu 20.04 虚拟机上安装了 Suricata 7.0.2 IDS。在我的虚拟环境中,我有两个虚拟网络。在第一个网络中,我有一个邮件用户代理(攻击者),它将电子邮件发送到本地 Postfix 邮件服务器(攻击者邮件服务器,IP 地址 10.0.3.17),然后将发送的邮件中继到接收方 SMTP 服务器(目标邮件服务器,IP地址10.0.2.1)使用端口25上的SMTP协议。该电子邮件系统模型如下所示:SMTP 电子邮件系统 我希望配置 Suricata 来监控从攻击者邮件服务器到目标邮件服务器通过端口 25。我使用 WireSh...
我最近在我的 Ubuntu-22.04 服务器上安装了 Suricata 作为入侵检测系统。我按照 digital ocean 上的教程设置了 Suricata (https://www.digitalocean.com/community/tutorials/how-to-install-suricata-on-ubuntu-20-04),使用默认规则集。 清晨,Suricata 生成并记录了一条警报,显示我的服务器通过 SSH 连接了一个已知的滥用 IP 地址。 我收到了许多来自滥用 IP 的 SSH 连接尝试,这很正常,但令我惊讶的是,我的服务器正在与...
我的IDS设置如下: 硬件/接口 WAN <----(brwan)> ROUTER / AP <(br0)----> LAN \ -----(eth1)> | \ | IDS device listening on eth1 ...
eth0我是否必须HOME_NET输入的公共 IP suricata.yaml? vars: # more specific is better for alert accuracy and performance address-groups: HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" 我的理解是只有私有地址才属于变量HOME_NET ...
我有一个反向代理,它代理网络服务器之间的 HTTP/HTTPS 流量,并且我已经设置了 Suricata 来查找和阻止恶意流量。 有没有办法通过 CURL 请求触发警报?EICAR 测试有效吗? 我进行了一些谷歌搜索,但没有找到直接使用 curl 触发 Suricata 的方法。 ...