2. 快速入门指南¶
这本指南将给你一个快速的开始运行苏瑞克塔,将只集中在基础上。要了解更多细节,请通读更具体的章节。
2.1. 安装¶
假设您运行的是最新版本的Ubuntu,因为官方PPA可以用于安装。
安装步骤:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt update
sudo apt install suricata jq
添加了专用的PPA存储库,更新索引后,可以安装Suricata。我们建议安装 jq 这个工具将有助于显示Suricata的EVE JSON输出(在本指南后面描述)中的信息。
有关在其他系统上安装或使用特定编译选项的信息,请参阅 安装 .
安装Suricata后,您可以检查运行的Suricata版本,以及使用哪些选项以及服务状态:
sudo suricata --build-info
sudo systemctl status suricata
2.2. 基本设置¶
首先,确定测试人员应在其上检查网络数据包的接口和IP地址:
$ ip addr
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:11:22:33:44:55 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.23/24 brd 10.23.0.255 scope global noprefixroute enp1s0
使用该信息配置Suricata::
sudo vim /etc/suricata/suricata.yaml
有许多可能的配置选项,我们将重点放在 HOME_NET 变量和网络接口配置。这个 HOME_NET 在大多数情况下,变量应该包括被监视接口的IP地址和正在使用的所有本地网络。默认值已经包括RFC1918网络。在这个例子中 10.0.0.23 已包含在 10.0.0.0/8 . 如果不使用其他网络,则可以删除其他预定义值。
在本例中,接口名为 enp1s0 所以在 af-packet 节需要匹配。接口配置示例如下所示:
捕获设置:
af-packet:
- interface: enp1s0
cluster-id: 99
cluster-type: cluster_flow
defrag: yes
use-mmap: yes
tpacket-v3: yes
此配置使用IDS运行模式的最新建议设置作为基本设置。有许多可能的配置选项在专用章节中描述,特别是与高性能设置相关。
2.3. 签名¶
Suricata使用签名来触发警报,所以有必要安装这些并保持更新。签名也称为规则,因此 rule-files . 使用工具 suricata-update 可以获取、更新和管理规则以提供给Suricata。
在本指南中,我们只运行获取ET Open规则集的默认模式:
sudo suricata-update
之后,规则安装在 /var/lib/suricata/rules 这也是配置中的默认设置,并使用 suricata.rules 文件。
2.4. 奔跑苏瑞塔¶
安装了规则后,Suricata可以正常运行,因此我们重新启动它:
sudo systemctl restart suricata
要确保Suricata正在运行,请检查Suricata日志:
sudo tail /var/log/suricata/suricata.log
最后一行与此类似:
<Notice> - all 4 packet processing threads, 4 management threads initialized, engine started.
实际线程计数将取决于系统和配置。
要查看统计信息,请检查 stats.log 文件::
sudo tail -f /var/log/suricata/stats.log
默认情况下,它每8秒更新一次,以显示当前状态的更新值,例如处理了多少包以及解码了什么类型的流量。
2.5. 提醒¶
为了测试Suricata的IDS功能,最好使用签名进行测试。带ID的签名 2100498 从ET中,Open规则集是专门为此类测试用例编写的。
2100498::
alert ip any any -> any any (msg:"GPL ATTACK_RESPONSE id check returned root"; content:"uid=0|28|root|29|"; classtype:bad-unknown; sid:2100498; rev:7; metadata:created_at 2010_09_23, updated_at 2010_09_23;)
这些签名背后的语法和逻辑将在其他章节中介绍。这将对其有效负载内包含内容的任何IP流量发出警报。这个规则很容易触发。在我们触发它之前,开始吧 tail 查看的更新 fast.log .
规则触发器:
sudo tail -f /var/log/suricata/fast.log
curl http://testmynids.org/uid/index.html
现在应该在日志中看到以下输出:
[1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 217.160.0.187:80 -> 10.0.0.23:41618
这应该包括时间戳和系统的IP。
2.6. 伊芙Json¶
更高级的输出是EVE JSON输出,详细说明见 Eve JSON Output . 要查看它的外观,建议使用 jq 解析JSON输出。
警报::
sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="alert")'
这将显示每个警报的更多详细信息,包括元数据。
统计信息:
sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")|.stats.capture.kernel_packets'
sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")'
第一个示例显示内核捕获的数据包数;第二个示例显示所有统计信息。