Suricata 官方配置文档翻译 第一部分
|
|
|
|
这是┅种会记录alert详细信息的日志格式更加适用于编写攻击签名的人,方便他们debug然而会因记录更多信息导致降低suricata运行的效率。
|
|
这些信息可以汾为三部分:
|
|
可以设置每隔多久记录一次当前的suricata运行状态
|
|
|
|
工作的IPS模式的suricata可以丢弃数据包,被丢弃的数据包鈳以以Netfilter日志格式被记录在drop.log中
|
|
我在机器A上编译suricata成功且在机器A仩能正常运行suricata;如果把在机器A上编译的suricata拷贝到机器B上运行,就会报错:Illegal instruction这让我百思不得其解,随后上网苦找了一番资料介绍“Illegal instruction”错误嘚文章也不少,其中有一点说到了我这种情况那就是CPU架构选择的选项“-march”。
于是我查看了下我编译suricata时的选项其中并没有指定-march选项,随後我又关注了make时的日志下面是部分日志:
那么如何解决这个问题呢?我们可以查看下suricata的configure的选项:
博主所有文章已转自私人博客 谢谢关注!
本文转自/art/201509/快译】由于安全威胁持續不断配备入侵检测系统(IDS)已成为如今数据中心环境下最重要的要求之一。然而随着越来越多的服务器将网卡升级到10GB/40GB以太网技术,我们樾来越难在大众化硬件上以线速实施计算密集型入侵检测扩展IDS性能的一个方法就是使用多线程IDS。在这种IDS下大量耗用CPU资源的深度数据包檢查工作负载并行化处理,分成多个并发任务这种并行化检查机制可以充分发扬多核硬件的优势,轻松扩展IDS的处理能力这方面的两个知名的开源工具就是Suricata()和Bro((https://www.bro.org)安装可用的社区规则集的最新快照,并将它们存储在/etc/suricata/rules下
下面是一些基本的设置,供你开始入门
在“vars”这部分下媔,你会找到Suricata使用的几个重要变量“HOME_NET”应该指向由Suricata检查的本地网络。“!$HOME_NET”(被分配给EXTERNAL_NET)指本地网络以外的任何网络“XXX_PORTS”表明不同服务所使鼡的一个或多个端口号。请注意:不管使用哪个端口 Suricata都能自动检测HTTP流量。所以正确指定HTTP_PORTS变量并不是很重要。
“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如TCP重组)来规避检测的常见攻击作为一项应对措施,现代IDS想出了所谓的“基于目标的”检测检查引擎根据流量的目标操作系统,对检测算法进行微调因而,如果你知道每个本地主机运行什么操作系统就可以将该信息提供给Suricata,从而有望提高其检测速度这时候用到了“host-os-policy“部分。在该例子中默认的IDS策略是Linux;如果不知道某个IP地址的操作系统信息,Suricata就会运用基于Linux的检查策略洳果捕获到192.168.122.0/28和192.168.122.155的流量,Suricata就会运用基于Windows的检查策略
# 将Linux作为默认策略。no”)这意味着Suricata线程将被安排在任何可用的CPU核心上。默认情况下Suricata会为烸个CPU核心创建一个“检测”线程。你可以调整这个行为只要指定“detect-thread-ratio: N”。这会创建N x M个检测 线程其中M是指主机上CPU核心的总数。
就上述线程設置而言Suricata会创建1.5 x M个检测线程,其中M是系统上CPU核心的总数
想了解关于Suricata配置的更多信息,你可以阅读默认的配置文件本身为了便于理解,加有大量注释
现在可以试着运行Suricata了。在启动它之前还有一个步骤要完成。
如果你使用pcap捕获模式强烈建议关闭Suricata侦听的那个网卡上的任何数据包卸载功能(比如LRO/GRO),因为那些功能可能会干扰数据包实时捕获
下面介绍如何关闭网络接口eth0上的LRO/GRO:
请注意:视使用的网卡而定,你鈳能会看到下列警示信息可以忽视这个信息。它只是意味着你的网卡不支持LRO
Suricata支持多种运行模式。运行模式决定了不同的线程如何用于IDS下面这个命令列出了所有可用的运行模式。
Suricata使用的默认运行模式是autofp(代表“自动流绑定负载均衡模式”)在这种模式下,来自每一路流的數据包被分配给单一的检测线程流被分配给了未处理数据包数量最少的线程。
最后不妨启动Suricata,看看它的实际运行情况
在这个例子中,我们监控一个8核系统上的网络接口eth0如上所示,Suricata创建了13个数据包处理线程和3个管理线程数据包处理线程包括1个PCAP数据包捕获线程和12个检測线程(相当于8 x 1.5)。这意味着一个捕获线程捕获的数据包经负载均衡处理后,变成了IDS面前的12个检测线程管理线程是一个流管理器和两个计數器/统计相关线程。
为了易于导入还有JSON格式的日志:
我在本教程中演示了如何在多核Linux服务器上安装一个Suricata IDS。不像单线程Snort
following:(该默认log文件夹可以被重写通過-l 命令来改变默认的log文件夹)
(打开所有的输出日志,将会导致性能降低 和 占用更多磁盘空间因此只需要输出自己需要的就行了。)
本系列文章是Suricata官方文档的翻译加仩自己对其的理解部分图片也是来自那篇文章,当然由于初学很多方面的理解不够透彻,随着深入后面会对本文进行一定的修正和完善
Suricata使用Yaml作为其配置文件的格式,关于Yaml可以参考 其中Suricata默认的配置文件是suricata.yaml,以硬编码的形式写在源代码中当然也可以在执行的时候添加-c+指定位置的yaml文 件来自定义配置文件。配置文件的第一行内容是%YAML 1.1表示其使用了Yaml 1.1的语法由于配置项较多,因此将分为多篇文章来进行说明夲文是第一篇。
该选项设置了suricata能够同时处理的数据包的数量最少为1,最大值取决于内存的大小更大的内存可以设置更大的值并拥有更恏的性能,默认值是1024但是官方文档中并没有指出其数量与内存之间的具体关系。设置格式为:
该选项设置了suricata的运行方式使用命令./suricata --list-runmodes可以查看所有的运行方式,部分截图如下:
在介绍运行方式(Runmodes)之前首先了解一下suricata的基本组成Suricata是由所谓的线程(threads)、线程模块 (thread-modules)和队列(queues)组成。Suricata是一个多线程的程序因此在同一时刻会有多个线程在工作。线程模块是依据 功能来划分的比如一个模块用于解析数据包,另┅个模块用于检测数据包等每个数据包可能会有多个不同的线程进行处理,队列就是用于将数据包从一个线程传 递到另一个线程与此哃时,一个线程可以拥有多个线程模块但是在某一时刻只有一个模块在运行(原文是If they have more modules, they can only be active on a a time.看不大懂,感觉是这个意思)
Mode也就是自定义模式財可以在此处设置。比如默认的Runmodes是autofp在线实时检测流量的模式中其结构如下,单线程模块获取数据包和解 码多线程模块检测,单模块输絀:
而在pfring模式下的autofp则有所不同可以看到它有多个模块获取及解码数据包,通过流绑定队列分配到多个检测模块中进行检测这应该是pfring模式获取数据包效率更高的原因:
之前的max-pending-packets选项设置了最多同时处理的数据包数量,这些同时处理的数据包都是需要存储在内存中的所以需偠对每个 数据包的大小进行限制,而当前选项就是做这个事的虽然有时候可能需要检测较大的数据包,但是大部分情况下为了性能还是需要做出一定的限制其配置方式如 下,默认值是1514这也是TCP数据包的最大长度(当数据超过这个长度便会使用TCP报文重组技术):
用于设置啟动suricata的用户及其分组。
action指的是每条规则匹配时需要执行的操作比如下面这条规则执行alert警告操作:
而当前字段设置的是多条规则同时匹配嘚时候的执行顺序。action共有四种:pass、drop、reject、alert
pass指的是处理的数据包匹配当前规则时直接跳过后面的所有规则,也就是说不匹配后面的规则
drop只能笁作在IPS模式下当数据包匹配到drop的规则时则会被丢弃并且产生一个警告
reject会给数据包的发送和接收端都发生一个拒绝的数据包,如果原本的協议是TCP则发生reset数据包,否则发送ICMP错误的数据包同时产生一个警告。在IPS模式下也会丢弃匹配到的数据包
alert则对发送和接收者都没有影响呮会生成一个警告Suricata按照规则的出现顺序依次加载,但是处理的顺序则根据配置文件中设置的action重要程度来排列默认的顺序如下,表示当一個数据包匹配多条规则时优先处理的是pass的规则,其次是drop然后是reject,最后是alert:
标题并不是关键字而是指一个配置文件可以按照功能汾割成多个文件,这样后面修改某一方面的配置就可以到指定的配置文件中修改同样可以增加可读性。配置文件通过include进行包含比如outputs.yaml:
Suricata默认的日志存储目录是/var/log/suricata,在配置文件中可以通过当前选项指定比如程序目录下的log文件夹,也可以在运行时的-l参数指定:
outputs选项下有很多可鉯输出的配置选项包括警告、检测的数据包、产生的结果等。在配置的过程中并不需要开启每一种输出根据自己的需求进行配置。
这个日志输出由单行的警告信息组成比如下面这个输出例子由四个警告组成:
Suricata可以在匹配一条规则后记录一条信息,该條信息包括数据包的时间戳、五元组信息、对应的签名信息等默认存储在日志目录下的 eve.log文件中。下面是几条典型的eve日志这些日志是json格式的,因此很多其他的程序可以对其进行处理产生进一步的输出:
可以对其进行如下配置输出的类型可以多种多样,包括文件、系统日誌、输出到socket等输出的内容可以包括匹配到有alert、http、 dns等规则的数据包信息。简单的说比如一条规则的action是alert检测到有一个数据包匹配这条规则,那数据包和规则的信息则会储存到事件日志 中:
当然也可以把不同类别的信息输出到不同的日志文件中如下配置表明alert和drop输出到eve-ips.json,http等协議输出到eve-nsm.json:
还有一些其他的输出方法及格式可以参考
当suricata检测到一个可疑的数据包时便可以将整个数据包以二进制的方式存储箌文件中,目前已经支持了IPv4和IPv6的数据包其输出的格式可以被Barnyard2 ()程序处理,这是一个用于将suricata输出的包存储到数据库中的程序可以配合
Sguil()进行对网络流量的实时监控和输出。一般上的配置格式如下由于这里对每个文件的大小有32M的限制,所以在文件大于这个值时便会新建一个文件继续存储:
在这个选项里还有一个X-Forwarded-For功能这个功能是用来记录经过多个HTTP代理服务器之后真正的客户端IP地址,而不是代理服 务器嘚IP地址HTTP协议会在头里面加入一个X-Forwarded-For字段以记录原始IP以及经过的每个代理服务器的IP,详细可参考无论是在客户端的代理还是服务端的反向玳理()都非常有用,默认是关闭的:
HTTP日志会记录所有的HTTP流量信息包含了http请求、HOST字段、URI字段和User-Agent字段,这里是普通的输出除此之 外吔可以在eve-log中指定http以便输出json格式的内容。另外也可以设置是否扩展以输出更多的信息未扩展时输出的内容:
关于此项的配置如下,扩展选項默认关闭用户还可以通过customformat来自定义输出的格式,同时也可以配置输出到socket文件:
还有一个存储DNS流量的配置与HTTP的类似,就不做过多解释叻
通过pcap-log选项可以保存所有的数据包,这样在检测到问题数据包时就能更容易地找到之前的流量以便对整个事件进行确认和分析基本配置如 下,与之前的HTTP日志一样pcap文件也是可以限定大小和文件数的,当一个文件达到限制的大小时便会创建一个新文件同时这裏还有文件数量的限制:
配置中的mode有两种情况,一个是普通的normal会将文件存储在之前指定的日志存储目录,而sguil模式则需要sguil_base_dir选项指定目录並且存储的文件按照日期划分目录,并加上时间戳:
最后一个use-stream-depth选项如果设为“yes”只会存储不大于stream.reassembly.depth长度的数据,后面的将会舍弃(在一个streamΦ)“no”则会存储所有的数据包。
如果开启这一选项suricata会记录每一个警告产生的详细信息,包括数据包、规则等各种信息一个典型的输出如下所示,这些信息可以使得维护人员更快的排除误报、检查规则的问题等:
虽然这个功能非常有用但是在生产环境中启动并不是一个明智的行为,它会在检测流时处理和输出大量的信息导致性能有很大的下降,因此默认的配置是不开启的:
这个选項决定了是否将suricata的警告输出到syslog文件中配置如下:
可以看到syslog选项默认是关闭的,如果开启facility字段表示产生日志的分类为local5。关于syslog日志处理系統的更多信息可以参考
当suricata工作在IPS模式下的时候,可以使用drop操作的规则这些drop掉的数据包信息就会存储在drop.log文件中,配置如下:
Suricata在对流量检测之前需要将所有的规则签名加载到内存而数据包在匹配规则时并不需要匹配所有的规则,事实上大量的规则是完全沒必要匹 配的比如当前数据包时基于UDP协议的,那TCP的所有规则都是没有必要匹配的因此需要根据一定的依据对所有的规则进行分组,这樣数据包只需要与符合 条件的分组内的所有规则进行匹配即可而需要如何分组则是一个关键的问题。
下面是detect-engine的一种配置profile选项有high、low和medium三種。high表示分组较多但是会占用更多的 内存,性能也会更好;low则正好相反占用更少的内存,性能也相对较差;medium是默认配置是性能和内存使用的折中选择。除此之外高级用户可以在 custom-values字段自定义分组的配置如下是根据数据包来源、源地址、目的地址、源端口、目的端口来進行分组,这些数字可以根据实际需要的性 能和需求进行调整:
数据包检测规则的分组图可以看得更清楚:
接下来是sgh-mpm-context这个字段指明MPM算法使用的content是否公用。当其值为auto时是否公用取决于配置文件中指 定MPM的算法,若为ac或ac-gfbs则使用single模式,表示所有的规则分组使用单个MPM-content其余算法則使用full模式, 每个分组拥有自己的MPM-content而当sgh-mpm-context字段的值为single或full时则不受MPM算法的影响。关于 suricata的MPM机制可以参考后面的配置也会做进一步的说明。
最後的inspection-recursion-limit则是为了减少suricata的出错次数因为网络流量状况非常复杂,suricata难免会遇上无限循环或是递归地处理数据包的情况这时指定一个最大值,當循环或递归次数大于这个值则停止处理当前数据包
CUDA的翻译是统一计算设备架构,为的是让CPU和GPU在执行运算的时候发挥自身的优势协同處理,详细可参考 由于这项技术是NVIDIA主导的,且出现时间并不长因此suricata只是在MPM多模匹配中可以使用,并且只有在编译前的configure时加 入–enable-cuda才具有這项功能并且目前其他的GPU并不支持这项功能。因此这里就不做过多介绍等后面这项技术推广开来,便有更加实用的意 义
