Ubuntu 16.04安装 Suricata入侵检测系统

Suricata是一个开源的网络入侵检测和阻止引擎,由开放信息安全基金会以及它所支持的提供商开发。该引擎是多线程的,内置 IPv6 的支持,可加载预设规则,支持 Barnyard 和 Barnyard2 工具。

Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. Open Source and owned by a community run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF and its supporting vendors.

Ubuntu 16.04安装Suricata

#1 安装依赖软件包

Suricata默认工作在IDS(入侵检测系统),如果你想让它做为IDS和IPS(入侵防御系统),安装如下包:

#2 安装Suricata

下载最新的Suricata源代码:https://suricata-ids.org/download/

解压tar包:

配置编译选项:

Ubuntu 16.04安装配置 Suricata入侵检测系统

编译安装:

#3 配置Suricata IDS

Suricata的运行需要IDS规则,我们可以使用make安装自带的规则:

Ubuntu 16.04安装配置 Suricata入侵检测系统

配置Suricata:

关于配置文件:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml

#4 测试

当使用pcap抓包模式时,建议关闭LRO/GRO:

查看suricata可使用的运行模式:

Ubuntu 16.04安装配置 Suricata入侵检测系统

Suricata的默认运行模式是autofp(auto flow pinned load balancing)。

启动Suricata pcap live模式:

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注