ubuntu基本配置和suricata安装、模拟攻击

原创 已于 2022-11-07 14:32:25 修改 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #linux #服务器 #suricata

于 2022-11-03 16:50:54 首次发布
本文详细介绍如何在Ubuntu上配置Suricata入侵检测系统,包括基本配置、安装过程及suricata-update规则更新方法。此外,还介绍了如何调整网卡参数以优化性能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1. Ubuntu基本配置

2. 安装suricata

3. suricata-update的使用

1. Ubuntu基本配置

修改ubuntu的root密码
sudo passwd,然后输入密码

允许远程ubuntu在远程工具登录
vim /etc/ssh/sshd_config
输入PermitRootLogin yes
systemctl restart sshd.service 

2. 安装suricata

安装链接https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_(PPA)

apt-get install software-properties-common
add-apt-repository ppa:oisf/suricata-stable
apt-get update
apt-get install suricata
suricata -c
apt-get install suricata-dbg
apt-get update
apt-get upgrade
suricata
/etc/init.d/suricata start
systemctl status suricata

日志:/var/log/suricata/
配置文件:/etc/suricata/
规则文件:/etc/suricata/rules/

修改yaml的网卡配置:
af-packet:
  - interface: ens33

pcap:
  - interface: ens33

pfring:
  - interface: ens33

启用sip,mqtt,rdp
修改完就重启程序,查看状态是running


网卡调优
ethtool -K ens33  tso off lro off gro off
ethtool -K ens33  rx off
ethtool -K ens33  tx off
ethtool -K ens33  sg off
ethtool -K ens33  gso off
ethtool -K ens33  gro off
ethtool -K ens33  lro off
ethtool -K ens33  rxvlan off
ethtool -K ens33  txvlan off
ethtool -K ens33  ntuple off
ethtool -K ens33  rxhash off
ethtool -K ens33  rx off  tx off


日志目录:/var/log/suricata
攻击日志: eve.json  fast.log 
系统日志:suricata.log


测试:
关闭防火墙
sudo ufw status命令查看当前的防火墙状态
sudo ufw enable命令来开发防火墙
sudo ufw disable命令来关闭防火墙

扫服务版本:nmap -sV 10.0.1.180

内网访问外网检测:curl http://testmynids.org/uid/index.html

开启规则,需要在suricata.rules把注释去掉

3. suricata-update的使用

更新规则:suricata-update 
规则存入位置:/var/lib/suricata/rules/suricata.rules
测试是否生效(测试需要一点时间):suricata -T -c /etc/suricata/suricata.yaml
源:/usr/local/var/lib/suricata/update/sources
更新规则源索引:suricata-update update-sources
索引中的来源:suricata-update list-sources
启用规则集:suricata-update enable-source ptresearch/attackdetection
再次更新规则:suricata-update
列出启用的来源:suricata-update list-sources --enabled
禁用源:suricata-update disable-source et/pro
启用默认禁用的规则/opt/suricata-6.0.8/suricata-update/suricata/update/configs/enable.conf

Ubuntu 20.04.1 LTS 安装Suricata
随便写写
10-03 1342
eeee
Suricataubuntu安装
weixin_42838512的博客
06-13 536
suricataubuntu安装
Suricata 1.安装方式
ly4983的专栏
05-21 610
安装方式适用场景优点缺点EPEL 仓库生产环境,求稳定简单快捷版本较旧源码编译需要最新功能版本新,可定制依赖多,编译复杂OISF RPM平衡稳定与新特性官方维护,版本较新依赖第三方仓库Docker测试/开发环境隔离环境,快速部署性能稍低开发/测试新功能最新代码可能不稳定在 CentOS 7 上安装Suricata1. 通过 EPEL 仓库安装(推荐新手)适用场景:快速部署,无需最新版本优点:简单、稳定,适合生产环境缺点:版本可能较旧安装步骤# 1. 安装 EPEL 仓库。
Ubuntu安装suricata
startkz的博客
10-21 2238
因为现在的工作主要是基于suricata这个开源软件来建立具有协议解析功能的防火墙,所以本篇简单介绍一下如何在Ubuntu16.04下安装suricata,之后会写一些关于suricata开发的文章。 1.安装所需依赖 在为系统构建Suricata之前,运行以下命令以确保拥有安装所需的一切: sudo apt-get -y install libpcre3 libpcre3-dbg libpcre...
Ubuntu编译安装suricata6.03
qq_37668945的博客
10-21 1136
基础环境 Ubuntu 21.04 Python 3 pip 编译suricat 6.0.3 安装依赖 sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 \ m
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 5565
Suricata(Ubuntu)的安装以及使用过程
基于Ubuntu坏境下的Suricata坏境搭建及监控预警
weixin_51525416的博客
08-28 3581
开源工具利器之基于网络的IDS:Suricata坏境搭建 基于Ubuntu坏境下的Suricata坏境搭建及监控预警
linux上部署suricata 无web服务
最新发布
06-11
实际安装可能是:sudoaptupdate&&sudoaptinstallsuricata为了部署IPS环境,需要配置Suricata在IPS模式下运行。默认可能是IDS。禁用Web服务:假设用户指的是不要额外安装Suricata-ui的东西。在编译安装时,可以确保...
以下是关于这个实验的关键词整合,这些关键词可以帮助另一位 AI 更好地理解任务需求: 实验主题 • DNS欺骗攻击(DNS Spoofing) • 网络钓鱼模拟 • 网络安全防御措施验证 实验环境 • 虚拟局域网(VMware/VirtualBox) • IP段:192.168.1.0/24 实验角色及工具 • 攻击者主机: • 系统:Kali Linux • 工具:Ettercap、Scapy • 功能:实施ARP欺骗DNS响应伪造 • 钓鱼服务器: • 系统:Apache服务器 • 工具:SEToolkit(Social-Engineer Toolkit) • 功能:托管伪造的钓鱼页面(如假银行登录页) • 目标主机: • 系统:Windows 10或Ubuntu • 功能:模拟普通用户访问被劫持的网站 • 合法DNS服务器: • 工具:Bind9、Dnsmasq • 功能:提供正常域名解析服务 • 防御设备: • 工具:Wireshark、Suricata、Snort • 功能:监控流量并检测异常行为 实验步骤关键词 • 环境配置: • 攻击者主机配置IP转发:echo 1 > /proc/sys/net/ipv4/ip_forward • 启动Apache并部署钓鱼页面:使用SEToolkit选择“钓鱼攻击”>“网站克隆”>输入目标URL • ARP欺骗(中间人攻击): • 使用Ettercap劫持目标主机流量:ettercap T i eth0 M arp:remote /目标IP// /网关IP// • DNS响应伪造: • 修改Ettercap的DNS配置文件:/etc/ettercap/etter.dns • 添加伪造解析规则:.google.com A 钓鱼服务器IP • 启动DNS欺骗插件:ettercap T i eth0 P dns_spoof M arp:remote • 攻击验证: • 在目标主机访问被劫持的域名,观察是否跳转至钓鱼页面 • 捕获用户输入的凭据:查看/var/www/html/post.php文件 防御措施关键词 • DNSSEC验证: • 在合法DNS服务器启用DNSSEC(以Bind9为例): • 生成密钥对:dnssec-keygen -a RSASHA256 -b 2048 -n ZONE google.com • 对区域文件进行签名:dnssec-signzone -A -3 salt -N INCREMENT -o google.com google.com.zone • 目标主机配置强制DNSSEC验证 • HTTPS证书检测: • 在钓鱼服务器部署自签名证书,触发浏览器警告 • 对比用户是否忽略警告继续访问 • 流量监控与IDS检测: • 使用Suricata规则检测异常DNS流量 • 分析Wireshark抓包数据,识别伪造DNS响应的特征 防御执行与管控 • 防火墙动态策略 • 软件定义网络(SDN)技术 • 闭环防护 • 自动更新安全规则 • 差异化防御措施 • 黑名单数据库 • 临时封禁策略 • 人工审核流程 • SDN控制器(如OpenDaylight) • OpenFlow协议 • 蜜罐系统 • 攻击溯源 • 策略分级执行 实验目标 • 模拟DNS欺骗攻击实现网络钓鱼 • 验证DNSSEC、HTTPS、流量监控等防御措施的有效性 • 分析攻击流量特征并提出检测策略 你要写的是一个零基础初学者版本,我什么都不会,所以你要把每一步尽可能详细,把整个实验拆成为若干个小步,一步一步来。还有描述的指令要尽量详细,就是指令是哪一个实验机做的,下一步要做什么都要描写清楚。
05-10
他们提到了使用Kali Linux作为攻击机,Windows 10或Ubuntu作为目标,还有Apache钓鱼服务器合法的DNS服务器,比如Bind9或Dnsmasq。工具方面需要用到Ettercap、Scapy、SEToolkit,还要验证防御措施如DNSSEC、HTTPS...
【网络安全双系统策略】:在WindowsUbuntu之间保护数据安全
随后,分别针对WindowsUbuntu系统,详细介绍了各自的安全策略配置方法,包括系统更新、安全软件配置、数据保护、防火墙恶意软件防护等关键技术。在双系统环境下,文章探讨了数据安全交叉策略,并通过案例分析...
Ubuntu服务器版基础与进阶:打造稳定高效的服务器环境
![Ubuntu服务器版基础与进阶:打造稳定高效的服务器环境](https://unixawesome.com/media/images/uploads/preview-sm_20200801210954327218.jpg) ...Ubuntu Server易于安装配置,支持广泛的硬件应用程序。
vagrant-ids:包含Suricata,PulledPork,BroSplunk的Ubuntu 16.04构建
02-06
vagrant-ids:包含Suricata,PulledPork,BroSplunk的Ubuntu 16.04构建
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
Suricata验证测试 这些测试使用特定的配置/或输入运行Suricata,并验证输出。 运行所有测试 在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py 或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME 添加新测试 创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到测试目录中。 它必须以“ .pcap”或“ .pcapng”结尾。 这对于基本测试就足够了,该基本测试将在pcap测试上运行Suricata,以成功完成退出代码。 可选:在测试目录中创建一个suricata.yaml。 通常只需添加启用测试功能所需的YAML位即可。 如果测试目录不包含suricata.yaml,则将使用在构建目录中找到的一个。 将所需的所有规则添加到$ {dir} /te
Ubuntu 20.04虚拟化实战:提升工作效率的技术探讨
本文全面介绍了Ubuntu 20.04虚拟化技术的安装配置、应用实践及性能优化与安全加固。首先概述了虚拟化技术的基本概念,然后详细阐述了如何在Ubuntu 20.04环境下搭建KVMVirtualBox虚拟化环境,并对比了不同虚拟化...
基于Ubuntu坏境下的Suricata坏境搭建
高性价比服务器就选:蓝易云
03-11 437
至此,你已经在Ubuntu环境下搭建好了Suricata环境。请将"版本号"替换为你需要的Suricata版本。
Ubuntu 16.04 安装 Suricata
bai00的专栏
12-05 953
1. apt-get install build-essential 2. apt-get install pkg-config 3. apt-get install libpcre3-dev libpcap-dev libcap-ng-dev libmagic-dev  libyaml-dev zlib1g-dev liblz4-dev libjansson-dev cargo 4. ca...
运行Ubuntu版本suricata过程中遇到的问题以及解决办法
beijieweiyu的博客
11-22 971
我用的最笨的方法,依次检查每个包依赖,思路为“手动输入命令时,先安装第一个包wget,安装好后依次添加下一个包,方便校验,同时使用sudo apt-get upgrade检查更新状态,确保包依赖不丢失,再重新编译 make clean;该链接是我学习过程中发现的一个优秀博主的文章,作者“qianli”,觉得对大家可能帮助较大。该链接是我学习过程中发现的另外一个优秀博主的文章,作者“leeezp”,大家也可以试一下。如果你从我的上一篇文章过来,而且需要的是Ubuntu系统下的操作,可以参考以下链接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值