基于主机的入侵检测系统,网络连接失败,基于主机的入侵检测系统,网络连接错误

  基于主机的入侵检测系统,网络连接失败,基于主机的入侵检测系统,网络连接错误

  什么是Suricata Suricata是一款免费、开源、成熟、高性能、稳定的网络威胁检测引擎系统功能,包括实时入侵检测(IDS)、在线入侵防御(online intrusion prevention)和网络安全监控(network security monitoring)。NSM离线pcap根据高度可扩展的规则和特征语言处理Suricata以过滤网络通信。而LUA脚本语言的输出文件格式是YAML或JSON,可以用社区驱动的方式由其他数据库或second Suricata开发。重复特征IDS/IPS完整特征语言用于描述已知威胁和恶意行为,有助于版本和新功能的维护。它还兼容EmergingThreatsSuricaruleset(证据点和英特尔规则)和vrt规则集(snort规则)。Barnyard和Barnyard2工具高性能支持单个Suricata示例,引擎包含多线程编码和硬件加速(pf_ring),af_packet可以根据自动协议检测自动扫描端口协议,恶意软件和通信通道NSM:一个IDS以上SuriCata可以记录所有http请求链接。行业标准输出的主要日志输出格式是Eve,包括所有协议事件、告警输出(可以指定主机或子段,也可以设置全局规则或个别规则)和流量。FreeBSD、OpenBSD、macOS/Mac OS X和Windows配置YAML被记录为常规文件格式,以便于阅读。TCP/IP引擎支持IPV6。隧道支持包括:重做,IP-IP,IP6-IP4,IP4-IP6,GRE,VXLAN,Geneve,会话跟踪和流重配置支持,IP分片重配置,IPv4,IPv4 PPPoE,Raw,SLL,VLAN,QINQ,MPLS,ERSPAN,VXLAN,Geneve,http,HTTP。TLS,包括对各种协议解码的支持。SNMP,RDP,RFB,mqtt http engine提供了一个基于libhtp的有状态http解析器,包括URL分析,请求和响应头,cookie,用户代理请求方法和状态码,基于协议关键字的主机检测引擎,Hyperscan,快速模式和预处理,文件匹配,JA3/JA3S/HASH匹配,以及其他许多功能。对于规则,初始化数据包访问高性能捕获模式:AF_PACKET、PF_RING、NETMAP标准模式:NFLOG、PCAPIPS模式:Netfilter、NETMAP、af

  

Packet Capture

  AF_PACKET和PF_RING通过流的对称哈希(5tuple)传递给线程。

  RSS技术通过将流量分配到网卡上的不同队列来进行流量分配,但非对称加密存在双向流量检测错误的缺点(如TCP)。

  因此,通常会配置rss队列或使用对称哈希算法。此外,如果您不启用网卡流量卸载,卸载将无法跟踪特定的流状态。举个例子吧。

  pf _ ring:1 rssqueueandusecluster-type cluster _ fl flow 。disablenicoffloadingexcepthorx/tx csum

  人力超级霸主

  hyperscanisahigh-performancemultipleregexmatchinglibrary,insuricataicanbeused to perform multipath matching,33555

  apt-getinstallcmakeragelapt-getinstalllibboost-devsudoapt-get python-devli bbz 2-dev wget 3359 dl . bin tray.com/boom boost _ 1 _ 66 _ 0。tar.gztarxvzfboost _1_ 66 _0。tar.gzcd boost _1_ 66 _0。/bootstrap . sh-prefix=hyperscanhyperscanmkdirbuilddbuildcmake-d Build _ static _ and _ shared=1。/cmake-d BBARED在编译需要显示的suricata时添加命令。带-lib hs-includes=/usr/local/include/hs/带-lib hs-libraries=/usr/local/lib

  

首先安装一下hyperscan:

  如果您有足够的RAM,请考虑中的以下选项

  苏里卡塔。YAML检测3360配置文件:自定义自定义值3360

  至客户端组3360200至服务器组:200 sgh-MPM-上下文:自动

  检查-递归-限制:3000

  

High Performance Confifiguration

  每8s将数据包数据写入stats.log文件。

  即使关闭了suricata,也可以看到收发包数和丢包数之和。

  根据拍摄模式,显示的数量可能会有所不同。

  inaf _ packet模式:kernel _ packets sthenumberofpackets正确

  senttouserspacekernel _ dropsithenumberofpackets that have

  beendiscardedinsteadofbeingsenttouserspaceinpf _ ring模式:

  kernel _ packets sthetotalnumberofpackets seenbypf _ ring

  kernel _ dropsithenumberofpackets已被丢弃

  发送到用户空间

  

Statistics

  可以通过配置柏克莱封包过滤器文件来忽略特定类型的通信

  回显“无主机1.2.3. 4”捕获过滤器。柏克莱封包过滤器

  Suri cata-tien S5 F0-f捕获过滤器。柏克莱封包过滤器

  语法类似于不是(主机ip2或ip2或tnet/24)或传输控制协议或udp)

  或者,也可以遵循细尾獴属规则。

  传递/丢弃IP 1。2 .3 .4 any any(msg:" passalltrafficcfrom/to 1。2 .3 .4”sid:1;)

  通过设置坦克激光瞄准镜(坦克激光瞄准器的缩写)关键字,可以释放所有安全超文本传输协议握手后的流量,而无需检查。

  应用层。协议。TLS。加密-处理

基于主机的入侵检测系统,网络连接失败,基于主机的入侵检测系统,网络连接错误