一款攻击检测工具suricata
0x01 suricata介绍 Suricata是一个高性能的IDS、IPS和网络安全监控的引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)开发。 https://www.osgeo.cn/suricata/what-is-suricata.html 0x02 suricata语法 规则语法由规则头部和规则选项组成 alert tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any( rule options ) 规则行为 协议 源ip 源端口 流量方向 目标ip 目标端口 规则选项 语法:action:确认特征/签名匹配会发生什么 Header: 协议、ip地址、端口和规则的方向 Rule options:定义规则细节 Action:默认顺序为:pass,drop,reject,alert Pass :匹配到规则后,suricata停止扫描数据包,并跳到所有规则末尾(仅针对当前数据包) Drop: ips模式使用,如果匹配到,则立即阻断数据包不会发送任何信息。 Reject :对数据包主动拒绝,接收者与发送者都会收到一个拒绝包。 Alert:记录所有匹配规则并记录与匹配规则相关的数据包并产生报警 协议:在规则中指定匹配那些协议。 源ip和目的ip:分别指定流量的来源和目标 源端口和目的端口