问题标签 [suricata]

我构建了一个包含 suricata 的 docker 映像，但是当我尝试运行 suricata 时，出现以下错误：

3/9/2018 -- 02:58:12 - - 这是 Suricata 版本 4.0.5 发布 3/9/2018 -- 02:58:12 - - [ERRCODE: SC_ERR_SYSCALL(50)] - 尝试设置时失败通过 ioctl 为 'ens33' 设置功能：不允许操作 (1) 3/9/2018 -- 02:58:12 - - [ERRCODE: SC_ERR_SYSCALL(50)] - 尝试通过 ioctl 为 'ens33' 设置功能时失败：不允许操作 (1) 3/9/2018 -- 02:58:12 - - [ERRCODE: SC_ERR_SYSCALL(50)] - 尝试通过 ioctl 为“ens33”设置功能时失败：不允许操作 (1) 3/ 9/2018 -- 02:58:12 - - [ERRCODE: SC_ERR_SYSCALL(50)] - 尝试通过 ioctl 为“ens33”设置功能时失败：不允许操作 (1) 2018 年 3 月 9 日——02:58 :12 - - 所有 2 个数据包处理线程，4 个管理线程初始化，引擎启动。

docker 图像：ttbuge/suricata:4.5.2 运行命令：docker run -it --net=host -v $PWD/logs:/var/log/suricata ttbuge/suricata:4.5.2 suricata -i ens33

有小费吗？谢谢！

我正在尝试向 Suricata 添加一条新规则，以将任何 PDF 文件传输存储在网络中。我尝试通过两条规则来实现

alert http any any -> any any (msg:"FILE pdf detected"; filemagic:"PDF document"; filestore; sid:3; rev:1;)

和

alert ftp any any -> any any (msg:"FILE pdf detected"; filemagic:"PDF document"; filestore; sid:4; rev:1;)

第二条规则总是给我错误作为配置错误。

当我只尝试第一个并尝试从 http 页面下载任何 pdf 文件时，不会报告任何警报

我在这里想念的

为什么这个简单的规则不起作用

例如，它无法检测到由 filezela 传输的任何 pdf 文件

我试图让 suricata 听 localhost 接口，但它说有 ERRCODE: SC_ERR_SYSCALL(50) failure to get feature via ioctl for 'lo'

有没有办法做到这一点？

我是 IDS 签名调整的新手。所以在学习签名的同时；在签名中，我遇到了签名触发警报的“内容”部分。现在，当我在内容中看到某些内容时（下面的示例）；如何破译相同？

内容：“x|00|p|00|_|00|c|00|m|00|d|00|s|00|h|00|e|00|l|00|l|00|”

我正在使用 Suricata 4.0.4，我想使用以下规则检查文件的 md5：

alert http any any -> any any (msg:"FILE MD5 Check against Malware Patrol blacklist"; filemd5: /root/2018.md5.txt; sid:10203040; rev:1;)

但在运行 suricata 之后，它说：

有什么建议么？

我正在尝试在 Amazon Linux ec2 实例中安装 suricata 编译时出现以下错误

---

错误：进程未成功退出：（rustc -vV退出代码：1）
---stdout
rustc 1.35.0
二进制：rustc
commit-hash：未知
提交日期：未知
主机：x86_64-unknown-linux-gnu
版本：1.35.0

--- stderr
错误：无法加载 codegen 后端“/usr/lib/rustlib/x86_64-unknown-linux-gnu/codegen-backends/librustc_codegen_llvm-llvm.so”：“/usr/lib/rustlib/x86_64-unknown -linux-gnu/codegen-backends/librustc_codegen_llvm-llvm.so：符号 _ZNK4llvm10ModulePass17createPrinterPassERNS_11raw_ostreamERKSs，版本 LLVM_7 未在文件 libLLVM-7.so 中定义链接时间参考“

---

• 有谁知道如何解决？
• Amazon Linux 是否有特定的锈蚀类型？

我尝试手动安装 rust，但它说它已经存在。
我尝试卸载并再次安装它几次

我在几个实验室实例上将 Suricata 设置为 HIDS，并编写了一些示例规则来提醒我可以轻松触发的自定义用户标头和内部 IP，目的是教别人如何使用 Suricata。

对于高级用例，我想在下游某处输出 EVE JSON 文件，用于最终的数据分析和 BI 用例。

为此，我想从 EVE 中删除“噪音”，或者想办法让 fast.log 以 JSON 格式输出。

例如，这就是我认为的“噪音”，因为我只想看到触发

我只想从 fast.log 中看到这样的东西 [**] [1:200002:6] ET USER_AGENTS Suspicious User Agent (BlackSun) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP}

那么有没有办法只获取 EVE 中的警报，或者将 Fast.log 转换为 JSON 的方法？

最新的 Suricata 添加了对 base64_decode 和 base64_data 的支持（https://suricata.readthedocs.io/en/latest/rules/base64-keywords.html）。另一方面，无法将规则仅应用于 HTTP 客户端主体。例如，类似：

有没有办法只解码请求正文？

作为一个项目，我有一个物理防火墙（IP：10.0.0.2），其 SPAN 端口配置为运行 Suricata IDS 的物理 linux（CentOS 6）（IP：10.0.0.3）。

从理论上讲，我应该通过我称为“span0”的接口接收到盒子的所有流量。我可以通过运行 ifconfig 并查看流量来确认这一点。所以一切都很好。

按如下方式运行 Suricata 时：sudo suricata -c /etc/suricata/suricata.yaml -i span0 | 我没有收到任何错误。也很好。

这里的问题是如何配置 suricata.yaml 文件。

• 我应该在 10.0.0.2 还是 10.0.0.0/8 上安装 HOME_NET？

期待听到您的反馈，Jan (Honza) Novak