Suricata详解

Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测，内联入侵防御和网络安全监控。Suricata由几个模块组成，如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量，并提供强大的Lua脚本支持来检测复杂的威胁。使

文章共2,308字 · 阅读需要大约8分钟

一键AI生成摘要，助你高效阅读

问答

ZtCling

14915人浏览 · 2022-06-15 14:19:56

ZtCling · 2022-06-15 14:19:56 发布

1.什么是Suricate

Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。

是一款开源、快速、高度稳定的网络入侵检测系统

Suricata引擎能够实时入侵检测，内联入侵防御和网络安全监控。Suricata由几个模块组成，如捕捉、采集、解码、检测和输出。

Suricata使用强大而广泛的规则和签名语言来检查网络流量，并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON)，使用现有的SIEMs、Splunk、Logstash/Elasticsearch、Kibana和其他数据库等工具进行集成将变得非常简单。

2.规则分析

suricate包含以下3个部分

action：决定当规则匹配的时候会发生什么。
header：定义了协议，IP地址，端口和规则的位置等包头信息。
rule options：定义规则的细节。

例如这条规则将提取HTTP流量中的后缀为txt的文件，并进行告警

alert http any any → any any (msg:"File txt save";fileext:"txt";filestore;sid:2;rev:1;)

action-header---------------- rule options----------------------------------------

2.1 action

action包括

pass: 如果匹配到规则，suricate会停止扫描并

Drop：如果程序匹配到了这类规则，这个数据包被阻断将不会被发送到目标。

Reject：不同于 Drop 直接丢弃数据包，Reject 在匹配到规则时会主动进行拒绝数据包。当数据包为TCP时，会返回一个 RST 数据包重置连接。

Alert：当匹配到规则时，Suricata 不会对数据包进行任何操作，会像对正常数据包一样进行放行，除了会记录一条只有管理员能够看到的警报。

以上四种操作也是有优先级的，默认的优先级为：Pass > Drop > Reject > Alert。也就是规则在匹配时会优先考虑包含 Pass 的规则，其次才是 Drop，再然后是 Reject，最后再考虑包含 Alert 的规则。

2.2 Header

头部中包含如下几项：

协议(Protocol)：这个字段用来告诉 Suricata 当前规则所包含的协议。其取值可以为：tcp，udp，icmp，ip，http，ftp，tls(包含ssl)，smb，dns等等。

源/目的地址(Source and destination)：源/目的地址可以设置为 IP 地址或者在配置文件(Suricata.yaml)里定义的变量。

端口号(Ports)：不同的协议使用不同的端口号，例如 HTTP 使用 80 端口，而 HTTPS则使用 443。通常情况下端口号会设置为 any，这样会影响所有的协议。

流向（Direction）：流向告诉规则匹配哪些流量数据，是匹配从外部网络进来的，还是匹配从内部网络出去的，亦或者两种同时匹配。其中，每条规则都必须有一个向右的箭头如示：→

2.3 Rule options

规则的每一条都遵循固定的格式：name: settings;

每条规则也包含如下设置：

元信息(meta-information)包括：msg (message)，Sid (signature id)，Rev（Revision)，Gid (group id)，Classtype，Reference，Priority，metadata信息。

头部(Header-Keyword)包括：ttl，ipopts，sameip，ip_proto，id，geoip，TCP关键字，ICMP关键字等等

有效载荷(payloads)包括：content，pcre，nocase，depth，offset，distance，within，isdataat，dsize等。

流信息关键字包括：flow， stream_size信息。

文件关键字：filename，fileext，filemagic，filestore，filesize等。

阈值

具体的规则内容比较复杂，详见官方手册。从中可以看出每条规则的编写都是非常复杂的，而且还包括很多流量协议底层相关的知识

3.所有特性（suricata完整功能列表）

（1）引擎

a、网络入侵检测系统(NIDS)引擎

b、网络入侵防御系统(NIPS)引擎

c、网络安全监控(NSM)引擎

d、离线分析PCAP文件

e、使用pcap记录器记录流量

f、Unix套接字模式

g，用于自动PCAP文件处理

h、与Linux Netfilter防火墙的高级集成

（2）操作系统支持

Linux、FreeBSD、OpenBSD、macOS/Mac OS X、Windows

（3）配置文件

a、YAML-人和机器可读

b、具有良好的注释和文档

c、支持包括其他配置文件

（4）TCP/IP引擎

a、可扩展的流引擎

b、完整的IPv6支持

c、隧道解码：Teredo、IP-IP、IP6-IP4、IP4-IP6、GRE

（5）TCP流引擎

a、跟踪会话

b、流重新组装

c、基于目标的流重新组装

（6）IP整理磁盘碎片引擎

基于目标的重新组装

（7）协议解析器

a、支持数据包解码：IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE；Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN

b、应用层解码:HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5, IKEv2;

使用Rust语言开发的新协议，用于安全快速的解码

(8)HTTP 引擎

a、基于libhtp的有状态HTTP解析器

b、HTTP请求记录器

c、支持文件识别、提取和日志记录

d、支持每个服务器设置-限制，个性等

e、匹配(规范化)缓冲区的关键字：uri和原始uri、headers and raw headers、cookie、user-agent、request body and response body、method, status and status code、host、request and response lines、decompress flash files等等

（9）检测引擎

a、支持协议的关键字

b、支持每个vlan或捕获设备的多租户

c、xbits -流位扩展

d、PCRE支持：用于登录EVE的子字符串捕获

e、快速模式和预过滤器支持

f、规则分析

g、文件匹配：magic文件、文件大小、文件名和扩展名、文件MD5/SHA1/SHA256校验和——可扩展到数百万个校验和

h、可以选择的多种模式匹配算法

i、具有广泛的调优选项

j、实时规则重载-使用新的规则重新启动Suricata

k、延迟初始化规则