问题标签 [suricata]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
suricata - 在suricata IPS模式下访问特定端口的流量被丢弃时连接是否正常?
我正在尝试 suricata ips。
当前可访问的 Web 服务器在端口 8891 上打开。
我在 suricata 规则中添加了以下内容以阻止到该服务器的流量。
并且还添加了 iptable 规则。
然后我打开 IPS 模式并检查了 fast.log。
将显示 drop,但您已正常连接到 Web 服务器。
我以为如果我丢了它就无法连接。
如何阻止访问?
python - 是否可以编写 Python (iOS) 程序来允许/执行对 RaspberryPi 的命令?
我目前正在进行我的高级 Capstone 项目,在该项目中,我将编写一个有点基本的程序,它允许我的 iPhone6 设备上的自定义界面远程控制或向我家 RaspberryPi(3B+) 中建立的 NIDS (Suricata) 发出关键命令虚拟专用网。然而,我的问题是,编写可以允许对 Pi 的 IDS 上的基本功能/响应选项进行远程访问控制的程序是否可行,因为我将它用作 VPN 网络中的设备。主要问题是在出现异常时向 iOS 设备建立远程信号,并允许其响应并在 NIDS 上执行根级命令。
如果它有用的话,我目前正在使用 Pythonista 作为我移动设备上的运行时环境,并将我的 VPN 的连接方法设置为 UDP,但我不确定启用 SSH 是否会对我有所帮助。我对如何操作有关网络连接的编程有相当基本的了解。我非常感谢提供的任何和所有帮助!
非常基本的选项,如此处所示。
dpdk - dpdk 中的“EAL:在 hugepages-1048576kB 中报告没有可用的巨页”是什么意思?
我是 DPDK 的新手,我正在服务器上安装 DPDK 版本的 suricata。当我运行时suricata --list-dpdkports,它显示
是什么EAL: No available hugepages reported in hugepages-1048576kB意思?无论我设置了多少大页面,它总是显示出来。
我是 DPDK 的新手,我在网上找到的大多数解决方案都是关于No Free hugepages reported. 我真的很想知道这意味着什么。感谢您的帮助。
suricata - 构建 Suricata 无法编译“der-parser”
我正在尝试按照我之前做过的 [Rapid7][1] 的教程构建 Suricata,但是在新机器中我遇到了这个问题......
我的步骤:
结果:
在启用 rust 的情况下配置相同的问题:
感谢您的关注
#########
解决了:
Rust 环境变量或安装似乎有问题。使用 rustup 安装 Rust:
成功!
注意:安装后清除 rustc 并执行 ldconfig 可解决此错误消息:
suricata - SQLI 的 Suricata 规则
我需要一些帮助,我对 suricata 还是新手。我正在学习,我的 splunk 事件显示存在自动 SQLI 攻击。
这是我写的规则,似乎它并没有阻止攻击。
192.168.10 .2 是我的网络服务器的 ip
python - Python 中具有挑战性的正则表达式子句 - Suricata / fast.log
任何正则表达式向导能够提供帮助?
我正在尝试让正则表达式解析 Suricata 快速日志。到目前为止,我在这里找到了一个旧帖子,但想从日志中获取所有数据。
到目前为止,我可以获得时间、日期、源 ip、源端口、目标 ip 和目标端口,但还想获得警报标题、分类和优先级。
日志文件:
蟒蛇文件:
电流输出:
想要的输出:
谢谢!
firewall - 添加自动防火墙规则 pfsense
我们希望在 pfsense 上检测到恶意 IP 后自动添加防火墙阻止规则。在大多数情况下,手动花费在此问题上的时间会浪费掉。我们正在寻找自动化的方法,并在 pfsense 上寻找自定义包。有像 suricata 这样的工具可以充当检测系统,github 上有一些 python 脚本和 pfsense 上的 easyrule(最后两个用于 shell)。我们真正想做的是创建一个数据库来存储恶意 IP,以及一个包或脚本从该数据库中提取 IP 以自动创建防火墙规则。我们应该如何处理这个问题?或者是否有任何现实世界中人们使用防火墙(尤其是 pfsense)的例子?
security - 我应该如何将我的规则文件添加到 Suricata?
我正在研究 suricata,但我无法理解有关配置文件的内容。在文档中,我们需要像这样将我们的规则文件添加到 suricata.yaml 中:
我们是否需要编写 local.rules(sample file) 的目录?或者我们将其保留为 /path/...
哪一个是正确的用法?提前致谢
bash - 比较文件并在新文件中注释相同的行
目标:我想比较两个 Suricata 规则文件并从 file2 中的 file1 中注释掉相同的行(警报“SID”),除非它已经被注释掉。我知道使用 Suricata 阈值文件有更好的方法来做到这一点,但不幸的是,除了我在这里可以解释的之外,我没有那种奢侈。这是为了便于更新规则,其中规则可能会更新,但“SID”的共性在两个文件中将是相同的。
我不知道从哪里开始。
示例文件 1 文本:
示例文件 2 文本:
编辑:提供的解决方案适用于我上面提供的初始示例数据,但是它不适用于实际签名。所以我在下面提供实际签名。此外,规则在每行之间可能有也可能没有空格。
示例文件 1 文本:
示例文件 2 文本:
logstash - 如何在 kibana 中添加字节、会话和源参数以可视化 suricata 日志?
我使用 rsyslog 将所有日志(此处为 suricata 日志)重定向到 logstash。我使用了 rsyslog 的模板,如下所示:
对于每条传入的消息,rsyslog 会将日志属性插入到 JSON 格式的消息中,并将其转发到 Logstash,监听端口 10514。参考链接:https ://devconnected.com/monitoring-linux-logs-with-kibana-and-系统日志/
(我还在上面的参考链接中配置了logstash)
我正在获取 Kibana 发现中的所有列(如 rsyslog 的 json-template 中所述),但我还需要 kibana 中的字节、会话和源列,但我没有在这里获取。我在此处附上了我在 Kibana 上的专栏快照
Kibana 上的可用字段(或说列)是:
请让我知道如何在 Kibana 的可用字段中添加字节、会话和源。我需要这些参数来进一步深入 Kibana。
编辑:我添加了我的“/var/log/suricata/eve.json”的样子(我需要在 Kibana 中可视化。)
对于字节,我将使用 (bytes_toserver+bytes_toclient) 这是一个可用的内部流。会话我需要计算。Source_IP 我将用作源。