🎬 HoRain 云小助手:个人主页
⛺️生活的理想,就是为了理想的生活!
⛳️ 推荐
前些天发现了一个超棒的服务器购买网站,性价比超高,大内存超划算!忍不住分享一下给大家。点击跳转到网站。
目录
⛳️ 推荐
基于Ubuntu环境下的Suricata环境搭建
一、推荐安装方式:使用APT安装(最简单方式)
1. 更新软件包列表
2. 安装Suricata和依赖包
3. 验证Suricata安装
4. 配置Suricata
5. 更新Suricata配置
6. 验证配置文件
7. 启动Suricata服务
8. 检查Suricata服务状态
9. 禁用网络接口上的数据包卸载功能(提高性能)
二、源码安装方式(备选方案)
1. 安装依赖包
2. 下载Suricata源码
3. 编译安装
4. 安装Suricata更新工具
三、Suricata运行与验证
1. 手动运行Suricata
2. 模拟攻击测试
3. 查看日志
四、Suricata配置关键点
五、常见问题解决
六、Suricata工作模式
七、总结
基于Ubuntu环境下的Suricata环境搭建
Suricata是一款高性能的网络IDS(入侵检测系统)、IPS(入侵防御系统)和网络安全监控引擎,由Open Information Security Foundation (OISF)开发。它能够实时分析网络流量,识别潜在的攻击和恶意活动。
一、推荐安装方式:使用APT安装(最简单方式)
1. 更新软件包列表
sudo apt update2. 安装Suricata和依赖包
sudo apt install suricata jq3. 验证Suricata安装
suricata --build-info4. 配置Suricata
编辑Suricata配置文件:
sudo nano /etc/suricata/suricata.yaml如果遇到权限问题,可以临时修改权限:
sudo chmod 777 /etc/suricata/suricata.yaml在配置文件中,找到并修改以下行:
HOME_NET: "[10.0.2.0/24]" # 修改为你的内网IP范围 EXTERNAL_NET: "!$HOME_NET" af-packet: - interface: eth0 # 修改为你的网络接口5. 更新Suricata配置
sudo suricata -u6. 验证配置文件
sudo suricata -T -c /etc/suricata/suricata.yaml -v7. 启动Suricata服务
sudo systemctl enable --now suricata8. 检查Suricata服务状态
sudo systemctl status suricata9. 禁用网络接口上的数据包卸载功能(提高性能)
sudo ethtool -K eth0 gro off lro off二、源码安装方式(备选方案)
如果需要特定版本或自定义配置,可以使用源码安装:
1. 安装依赖包
sudo apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential libpcap-dev \ libnet1-dev libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev \ libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev \ libnss3-dev libgeoip-dev liblua5.1-dev libhiredis-dev libevent-dev2. 下载Suricata源码
wget https://www.openinfosecfoundation.org/download/suricata-latest.tar.gz tar -xvzf suricata-latest.tar.gz cd suricata-*3. 编译安装
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var make sudo make install4. 安装Suricata更新工具
sudo apt-get install python-pip pip install --upgrade pip pip install suricata-update三、Suricata运行与验证
1. 手动运行Suricata
sudo suricata -D -c /etc/suricata/suricata.yaml -i eth02. 模拟攻击测试
使用hping3进行模拟攻击测试:
sudo apt install hping3 hping3 -S -p 80 --flood --rand-source <suricata-ip> -i eth0 -c 503. 查看日志
Suricata生成的日志文件存放在/var/log/suricata/目录下:
eve.json:以JSON格式存储预警信息fast.log:预警核心文件,只用于存储警告信息stats.log:Suricata的统计信息suricata.log:Suricata程序的运行日志
四、Suricata配置关键点
- HOME_NET:设置为你的内部网络地址范围,例如
[192.168.1.0/24] - EXTERNAL_NET:设置为
!$HOME_NET,表示外部网络 - af-packet:指定要监听的网络接口(如eth0)
- 规则更新:定期更新规则以保持检测能力
sudo suricata-update
五、常见问题解决
安装依赖包错误:
- 如果出现
unable to locate package zliblg-dev,注意是zlib1g-dev,不是zliblg-dev - 检查包名是否正确,字母"1"不要写成字母"L"
- 如果出现
配置文件权限问题:
- 如果无法修改
/etc/suricata/suricata.yaml,使用sudo chmod 777临时修改权限
- 如果无法修改
Suricata无法启动:
- 检查配置文件:
sudo suricata -T -c /etc/suricata/suricata.yaml -v - 确保网络接口正确:
ifconfig查看可用接口
- 检查配置文件:
六、Suricata工作模式
Suricata可以运行在两种主要模式:
IDS模式(入侵检测系统):
- 仅监控网络流量并生成警报
- 不会主动阻止流量
IPS模式(入侵防御系统):
- 会主动阻止恶意流量
- 需要配置iptables规则将流量重定向到Suricata
IPS模式需要额外配置,例如:
sudo iptables -I INPUT -j NFQUEUE --queue-num 0 sudo iptables -I OUTPUT -j NFQUEUE --queue-num 0七、总结
Suricata是网络安全监控的强大工具,通过以上步骤,你可以在Ubuntu环境下成功搭建Suricata环境。推荐使用APT安装方式,因为它简单且能自动处理依赖关系。安装后,记得定期更新规则以保持检测能力。
完整的Suricata环境搭建后,你可以进行网络流量监控、入侵检测和安全事件分析,有效提升网络安全性。
❤️❤️❤️本人水平有限,如有纰漏,欢迎各位大佬评论批评指正!😄😄😄
💘💘💘如果觉得这篇文对你有帮助的话,也请给个点赞、收藏下吧,非常感谢!👍 👍 👍
🔥🔥🔥Stay Hungry Stay Foolish 道阻且长,行则将至,让我们一起加油吧!🌙🌙🌙
