suricata+pfring安装部署

已于 2022-03-14 18:03:48 修改
阅读量2k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: lua linux 运维
于 2022-03-14 17:59:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yztezhl/article/details/123484624
  1. 安装suricata前依赖安装
sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel \
  zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make \
  libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo \
  lz4-devel  readline-devel

2.安装pfring

git clone https://github.com/ntop/PF_RING.git
cd PF_RING/
make    //直接在跟目录下面make,进行全部编译

cd PF_RING/kernel
make
make install 

cd ../userland/lib
./configure
make
make install

sudo modprobe pf_ring
modinfo pf_ring && cat /proc/net/pf_ring/info

3.安装luajit

make linux test 
make install
  • cd openresty/bundle/LuaJIT-2.1-20160108/
make
make install
  • cd openresty/bundle/lua-cjson-2.1.0.3/
make 
make install

luajit安装完成后

使用https://download.csdn.net/download/yztezhl/84836430第三方lua库就可以直接向kafka消息,但前提是要安装yum install -y librdkafka-devel

unzip luardkafka-master.zip
cd  luardkafka-master
cp -r rdkafka/ /usr/local/share/lua/5.1/

4.安装suricata

chmod +x libhtp/get-version.sh 
sh autogen.sh
./configure --enable-rust=no -enable-gccmarch-native=no --enable-rdkafka  --prefix=/usr   --sysconfdir=/etc \ 
 --localstatedir=/var \
--enable-pfring --with-libpfring-includes=/usr/local/include --with-libpfring-libraries=/usr/local/lib \
--enable-luajit  --with-libluajit-includes=/usr/local/include/luajit-2.1/ --with-libluajit-libraries=/usr/local/lib/
make
make install
ldconfig
make install-full

  • 配置suricata.yaml

  • 安装完成启动 suricata --pfring-int=ens3f0 --pfring-cluster-id=99 --pfring-cluster-type=cluster_flow -c /etc/suricata/suricata.yaml #ens3f0 网卡

启动参数及suricata手册见5. 命令行选项 — Suricata 7.0.0-dev 文档

Suricata+PF_RING安装详解
Ran's Hacking Zone
06-15 4319
1. 前言 Suricata安装包可以从 github上克隆安装,可以从Suricata官网进行下载。本文的测试以github上的版本为例。 本文的测试平台为 CentOS release 6.7 (Final),不同Linux平台类似。 由于实际需求,本文中的Suricata编译将加入PF_RING零拷贝工具。 2. Suricata Build Info 详解[root@monster sur
Suricata镜像流量解析--Suricata部署
Zpz501的博客
01-05 5580
突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。 目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点: 1. 系统解耦; 2. 提高lua拦截模块性能; 3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告
PF_RING安装指南
系统运维
08-20 571
原文网址:http://www.ntop.org/blog/pf_ring/installation-guide-for-pf_ring/ 一个简单的安装,除了提到的包以外不用安装其它的包: 1 使用apt-get卸载libpcap和其它依赖的应用程序/库 2 安装SVN(获得最新的源代码) Flex和bison(要求重新编译pf_ring使用的pcap) Ethtool(如果没有预先安...
ntop/PF_RING 软件包安装与配置完全指南
gitblog_00523的博客
06-19 326
ntop/PF_RING 软件包安装与配置完全指南 前言 PF_RING 是 ntop 团队开发的高性能网络数据包处理框架,它通过内核模块和专用驱动大幅提升数据包捕获性能。本文将详细介绍如何通过预编译软件包安装 PF_RING,并针对不同使用场景进行配置。 软件包安装基础 PF_RING 提供预编译的软件包,简化了安装过程。主要包含以下组件: pfring:核心软件包,包含基本功能 pfring...
suricatapfring收包模式源码分析
08-30 422
两个文件分别是:source-pfring.h和source-pfring.c。
Centos7部署Suricata
m0_55593211的博客
04-25 2324
Centos 7部署Suricata Centos开启混杂模式 网卡的混杂模式,在该模式下网卡会将网络上的数据一并抓获。 [ROOT]# ifconfig eth1 promisc 设置混杂模式 [ROOT]# ifconfig eth1 -promisc 取消混杂模式 混杂模式开启后网卡会多出 “PROMISC” 安装依赖包 安装依赖: yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel j
suricata+elk+kibana+logstash安装手册.docx
08-13
Suricata+ELK+kibana+logstash 安装手册是网络安全领域中构建入侵检测系统(IDS)和入侵防御系统(IPS)的关键步骤。这个文档详细介绍了如何在CentOS 7环境下设置一套完整的监控解决方案,包括 Suricata 作为核心的...
Suricata + Wireshark离线流量日志分析
10-06
Suricata和Wireshark是两个在网络安全领域中极为重要的工具。它们的结合使用可以帮助我们进行深入的离线网络流量日志分析,从而检测潜在的威胁、优化网络性能或者进行故障排查。以下是对这两个工具及其在流量日志...
Arkime+Suricata离线文件包
08-15
Arkime+Suricata离线文件包,含arkime-3.4.2-1.x86_64.rpm、elasticsearch-oss-7.rpm、suricata-4.1.3.tar.gz、arkimeGEO.tar.gz、ipv4-address-space.csv、oui.txt。
零代码威胁分析方案:Suricata+ELK实现APT流量自动关联分析.pdf
最新发布
06-23
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
基于DPDK抓包的Suricata安装部署
lingshengxiyou的博客
04-11 840
基于DPDK抓包的Suricata版本只更新到4.1.4,因此对DPDK版本有要求,经过测试推荐使用 DPDK-19.11.14。由于服务器开关机会导致DPDK绑定的网卡会被默认解绑,为简化重新机械的绑定工作,通过shell脚本实现自动化DPDK绑定网卡。DPDK官网下载地址:http://fast.dpdk.org/rel/dpdk-19.11.14.tar.gz。7 [root@ids-dpdk ~]# ls /usr/src/kernels/ #查看有没有相应的内核开发包。
PF_RING 安装包源码及使用手册
10-20
PF_RING是Luca Deri发明的提高内核处理数据包效率,并兼顾应用程序的补丁,如Libpcap和TCPDUMP等,以及一些辅助性程序(如ntop查看并分析网络流量等)。 压缩包里使用手册很详细,具有很强参考价值
PF_RING安装
weixin_30481087的博客
12-24 186
1、安装Build-essential、SVN、Flex、Libnuma-dev、bison ubuntu中:sudo apt-get install build-essentialsubversion flexlibnuma-devbison centos中:yum install subversion flex bison numactl-devel 2、下载PF_RING sv...
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 5408
构造rpm包及其依赖的离线安装环境 离线安装suricata,离线更新suricata规则,使用suricata离线检查pcap包
Suricata开启PF_RING加速的方法
老陈988的博客
09-22 3580
Pre installation requirements Before you can build Suricata for your system, run the following command to ensure that you have everything you need for the installation.  sudo apt-get -y install li
suricata安装,配置,运行
weixin_45504433的博客
03-08 1019
1.suricata安装 ./configure ./make ./make install-full 2.配置 /usr/local/etc/suricata/suricata.yaml 配置syslog输出为yes 3.运行 suricata -c suricata.yuml -s ./rules -i ens0 配置系统日志输出: /etc/rsyslog.d/rsyslog.conf 启动rsyslog失败 (个人重启时遇到问题,配置文件第36行注释掉后重启成功) 删除/var/lib/rsyslo
Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)
qq_45560958的博客
09-19 2212
这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少库,不论是虚拟机上和在线的centos服务器上都报缺库,并且他们缺的库名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只做参考,实际根据你缺的库进行调整。因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源。
探索高效网络安全:Suricata部署优化指南
gitblog_00052的博客
06-17 586
探索高效网络安全:Suricata部署优化指南 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 在网络安全的世界中,Suricata是一个强大的网络入侵检测系统(IDS)。它能够实时地监测和分析网络流量,识别潜在的安全威胁。这款开源工具以其高性能和可扩展性赢得了广大用户的青睐。本文将带你深入理解如何在18年的环境下,有效地部署和优化Suricata,利用最佳实践确保...
Su+ELK实现网络监测(1)——Suricata安装与配置
ytraister的博客
04-11 2362
suricata安装配置文档
suricata二进制安装
12-27
对于希望简化部署流程的用户而言,采用预构建的二进制包来安装 Suricata 是一种更为便捷的方式。这不仅能够减少编译过程中可能出现的问题,还能加快设置速度。 #### 获取适用于操作系统的二进制版本 不同操作系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hay_lee

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值