正规的合肥网站建设价格,怎么样在网上卖东西,昆明网签备案查询系统,asp网站开发实验报告Suricata User Guide — Suricata 7.0.1-dev documentation 一、命令行选项
1、常用启动选项
-c path 指定配置文件suricata.yaml所在路径
-i interface 指定要监控的网卡名称或ip地址
-T 测试配置文件是否正确
-v 设定日志级别#xff0c;包括-v: INFO -vv…Suricata User Guide — Suricata 7.0.1-dev documentation 一、命令行选项
1、常用启动选项
-c path 指定配置文件suricata.yaml所在路径
-i interface 指定要监控的网卡名称或ip地址
-T 测试配置文件是否正确
-v 设定日志级别包括-v: INFO -vv: PERF -vvv: CONFIG -vvv:DEBUG
-D 后台启动
-l 设定日志输出目录将会覆盖配置文件中的default-log-dir:/var/log/suricata 选项可保持默认
-s filename 临时添加一个新的规则文件
2、离线分析日志
在suricata启动的时候可以添加选项来进行离线流量分析为其指定对应的pcap流量文件即可参数选项如下
-r path 在pcap离线模式下运行从pcap文件中读取文件。如果path指定了一个目录则该目录下的所有文件将按照修改时间的顺序进行处理保持文件之间的流状态。
此处的离线数据包文件可以是wireshark、tcpdump、suricata等各类流量监控工具生成的文件。 使用whireshark监听一段流量记录下404错误让suricata进行离线分析运行如下命令
suricata -c suricata.yaml -r ~/404error.pcap -v (-v是输出详情) 二、规则基础语法
规则参考文档
8. Suricata Rules — Suricata 7.0.1-dev documentation 1、ip地址规则
可以使用的语法如下
操作员描述../..IP范围CIDR表示法异常/否定[......]分组
如下示例均可用来定义源和目标ip地址
例子意义!1.1.1.1除了1.1.1.1之外的每个ip地址![1.1.1.1,1.1.1.2]除了1.1.1.1和1.1.1.2之外的每个ip地址$HOME_NET您在yaml中的HOME_NET设置[$EXTERNAL_NET,!$HOME_NET]EXTERNAL_NET而不是HOME_NET[10.0.0.0/24,!10.0.0.5]10.0.0.0/24中除了10.0.0.5 3、端口规则
例子意义[80,81,82]端口80、81和82[80:82]范围从80到82[1024:]从1024到最高端口号!80除了80之外的每个端口[80:100,!99]范围从80到100但不包括99[1:80,![2,4]]范围为1-80端口2和4除外 4. Meta keyword元关键字
在suricata规则选项中针对不同的协议类型有不同的关键字同时针对所有协议生效的关键字称为元关键字。
1msg预警信息的详细描述也是用来快速了解规则所描述的问题所在
2sid规则编号用来唯一识别规则项建议自定义规则也要有一套自己的标准避免和已有规则重合
3rev规则的修订版本默认为0可以自由设定版本号
4classtype规则所属的类的类型在classification.config中进行定义同时也包含规则的priority优先级字段
5reference: 引用参考一个url地址或是一条cve编号如reference: url,www.info.comreference:cve,CVE-2014-1234
(6)priority优先级选项如果明确指定将覆盖classtype中的优先级设定范围为1-255建议设定1-4级1级别为最高。
7metadata元数据。添加非功能性数据建议以键值对形式指定。如metadata: key value,key value;
8target允许指定警报的哪一侧是攻击的目标。如果指定警报事件将被增强以包含有关源和目标的信息。target:[src_ip|dest_ip] 其中12是必要的其他可选。 三、规则示例
alert http any any any 80 (msg:web服务器出现404状态码; content: 404; http_stat_code; sid:561001;)
alert tcp any any any 3306 (msg:login mysql failed; content: Access denied for user; nocase; sid:561001;)
