suricata

流量异常大的网络传感器
suricata

流量异常大的网络传感器

我想知道是否有人有处理产生 90 kpps 或更高流量的单个流的经验。我的难题是,我使用的工具(Zeek、Suricata)能够正确地看到整个流,但是如果单个连接超过“工作线程”的最大处理速率,这两个实用程序都无法处理更大的流量。由于单个连接能够产生这种流量,因此我不知道负载平衡方法和配套软件会从 Zeek 和 Suricata 产生类似的结果信息(可以理解,这对于 Zeek 来说不那么重要,因为看到整个连接并不是绝对必要的,但是让一个巨大的连接填满 rx 环会导致丢失后续连接) 我希望有人可能有处理这种情况的经验,或者知道每个“工作者/线程”速率的处理限制...

Admin

两台虚拟机通过 LAN 使用 Network Tap 嗅探流量
suricata

两台虚拟机通过 LAN 使用 Network Tap 嗅探流量

我在 VirtualBox 中运行了两个虚拟机。一个运行 Windows 7,另一个运行 Kali Linux。主机通过 LAN 连接到运行桥接接口的 Raspberry Pi,因此它可以使用 Suricata IDS 监控流量。设置如下: LAN <-> Raspberry Pi <-> PC(VM 1 和 VM 2) 我想通过 Raspberry Pi 监控往返于两个虚拟机的流量。我已将两个虚拟机配置为使用桥接接口,因此我假设它们的流量将通过我 PC 上的 LAN 端口,然后到达 Raspberry Pi。然而事实并非如此...

Admin

OS X 10.10.3:Homebrew 中的 Apache(2.4.12) + Passenger 5.0.10 无法运行
suricata

OS X 10.10.3:Homebrew 中的 Apache(2.4.12) + Passenger 5.0.10 无法运行

尝试配置 Snorby(ruby 应用程序)以与 Apache/2.4.12 和 Passenger 5.0.10 一起使用。 ——我已经成功从自制软件 apache 和 Passenger 安装了。 brew install httpd24 passenger -- 创建/etc/apache/other/passenger.conf(按照 Homebrew 中的说明): LoadModule passenger_module /usr/local/opt/passenger/libexec/buildout/apache2/mod_passen...

Admin

如何获取有关 suricata 扫描 pcap 文件后生成的警报的详细信息(例如远程 ip)
suricata

如何获取有关 suricata 扫描 pcap 文件后生成的警报的详细信息(例如远程 ip)

我想测试我的 Android 手机的安全性,所以我让它在后台运行一天的 tcpdump。 然后我将生成的 pcap 发送到virustotal.com。他们正在使用 snort 和 suricata 扫描 pcap 文件。 在报告中我提醒ET MOBILE MALWARE Google Android Device HTTP Request 我如何获取有关触发警报的数据包的更多信息?我主要对远程 IP 感兴趣,但内容也会有所帮助 - 我正在尝试确定哪个应用程序触发了警报等。 我有一台 Linux 机器可以进一步分析文件,但不知道从哪里开始。我假设如果...

Admin

在 Mac OS X 上使用 launchctl 启动 Suricata
suricata

在 Mac OS X 上使用 launchctl 启动 Suricata

使用 Mac OS X Yosemite 10.10.3。 我正在尝试使用 让 Suricata 在启动时以守护进程模式启动launchctl。这是我的/Library/LaunchDaemons/org.suricata.Suricata.plist: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"&gt...

Admin

OS X:suricata:./configure --enable-nfqueue 错误
suricata

OS X:suricata:./configure --enable-nfqueue 错误

我正在尝试在 mac OS X Yosemite 上使用 nfqueue 配置 suricata。当我运行 configure 时,进程报告存在几个必需项,但无法编译。它最终以“错误:未找到 pcre.h...”中止。 完整配置输出如下: sudo ./configure --enable-nfqueue checking for a BSD-compatible install... /usr/bin/install -c checking whether build environment is sane... yes checking for a ...

Admin

在 Mac OS X 上启动 Suricata 时出现问题
suricata

在 Mac OS X 上启动 Suricata 时出现问题

我正在尝试开始苏里卡塔我在 Mac OS X 上安装了 2.0.7,但遇到了问题。知道哪里出了问题以及如何修复吗?以下是我看到的错误: $ sudo suricata -c /etc/suricata/suricata.yaml -i en2 10/4/2015 -- 20:00:50 - <Notice> - This is Suricata version 2.0.7 RELEASE /usr/share/file/magic/animation, 712: Warning: Printf format `l' is not valid ...

Admin

wget 镜像站点失败 - 403 Forbidden,即使使用用户代理
suricata

wget 镜像站点失败 - 403 Forbidden,即使使用用户代理

我需要从这个网址下载 suricata 的最新规则: http://rules.emergingthreats.net/blockrules/ 我正在尝试根据不同的新兴规则和 snort 规则编写自己的规则。尝试用alert替换drop。 我甚至无法下载所有规则,因为 apache 2.2.22 的rules.emergingthreats.net配置以某种方式违反了wget。 我的命令如下: # wget -m --user-agent="Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/...

Admin

如何使用Suricata IDS监控整个网络?
suricata

如何使用Suricata IDS监控整个网络?

我有以下 3 台 PC 通过以太网连接到路由器: PC1 – 192.168.1.101(Linux Ubuntu) PC2 – 192.168.1.100 (Windows) PC3 – 192.168.1.1 (Windows) 所有 PC 均可互相 ping 通。 PC1 已在 IDS 模式下安装 Suricata。它包含一条简单的 ping 规则: alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;) 我通过在 PC1 中输入以下命令来启动 Suri...

Admin

我可以使用 Suricata 7.0.2 生成并记录 SMTP 流量的输出警报吗?
suricata

我可以使用 Suricata 7.0.2 生成并记录 SMTP 流量的输出警报吗?

我在 Linux Ubuntu 20.04 虚拟机上安装了 Suricata 7.0.2 IDS。在我的虚拟环境中,我有两个虚拟网络。在第一个网络中,我有一个邮件用户代理(攻击者),它将电子邮件发送到本地 Postfix 邮件服务器(攻击者邮件服务器,IP 地址 10.0.3.17),然后将发送的邮件中继到接收方 SMTP 服务器(目标邮件服务器,IP地址10.0.2.1)使用端口25上的SMTP协议。该电子邮件系统模型如下所示:SMTP 电子邮件系统 我希望配置 Suricata 来监控从攻击者邮件服务器到目标邮件服务器通过端口 25。我使用 WireSh...

Admin

Suricata 记录了我的服务器接触已知滥用 IP
suricata

Suricata 记录了我的服务器接触已知滥用 IP

我最近在我的 Ubuntu-22.04 服务器上安装了 Suricata 作为入侵检测系统。我按照 digital ocean 上的教程设置了 Suricata (https://www.digitalocean.com/community/tutorials/how-to-install-suricata-on-ubuntu-20-04),使用默认规则集。 清晨,Suricata 生成并记录了一条警报,显示我的服务器通过 SSH 连接了一个已知的滥用 IP 地址。 我收到了许多来自滥用 IP 的 SSH 连接尝试,这很正常,但令我惊讶的是,我的服务器正在与...

Admin

我是否必须将公共 IP 输入到 HOME_NET 变量中?
suricata

我是否必须将公共 IP 输入到 HOME_NET 变量中?

eth0我是否必须HOME_NET输入的公共 IP suricata.yaml? vars: # more specific is better for alert accuracy and performance address-groups: HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" 我的理解是只有私有地址才属于变量HOME_NET ...

Admin

发送恶意包作为测试以测试 Suricata 警报
suricata

发送恶意包作为测试以测试 Suricata 警报

我有一个反向代理,它代理网络服务器之间的 HTTP/HTTPS 流量,并且我已经设置了 Suricata 来查找和阻止恶意流量。 有没有办法通过 CURL 请求触发警报?EICAR 测试有效吗? 我进行了一些谷歌搜索,但没有找到直接使用 curl 触发 Suricata 的方法。 ...

Admin