问题标签 [suricata]

我找不到适用于以下规则的文档：

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"ET ATTACK_RESPONSE Microsoft Powershell Banner Outbound"; flow:established; content:"Windows PowerShell"; content:"Copyright |28|C|29| 20"; distance:0; content:"Microsoft Corp"; distance:0; classtype:successful-admin; sid:2020084; rev:1; metadata:created_at 2015_01_05, updated_at 2015_01_05;)

它在文件中：https ://rules.emergingthreats.net/open/suricata/rules/emerging-attack_response.rules

我正在使用 Suricata 开发一项功能，该功能会提醒我注意 DHCP 通知数据包中的特定供应商标识符。我已将 Suricata 配置为启用了 DHCP 日志记录，并将扩展选项设置为“是”。这可确保所有 DHCP 数据包都记录在 Suricata 的 EVE 日志中。但是，我似乎无法使用这些设置从数据包中的选项中提取供应商类标识符（选项 60）。我已经用 Wireshark 验证了这个选项确实存在于我的数据包中（下面的屏幕截图，我想要突出显示的选项），但我在 EVE 日志中没有看到该数据（下面的示例）。

但是，我确实在 EVE 日志中看到了其他选项，例如客户端标识符（本质上是 MAC）和客户端主机名。这是这些选项根本没有被 Suricata 解析器解析的情况吗？我确实查看了 Suricata 源代码，似乎 Rust 解析器具有解析所有选项的逻辑。有没有人遇到过这个问题或者可以指出我正确的方向？谢谢！

大约一周前，我开始与 Suricata 合作，到目前为止一切进展顺利。但是，我现在正在尝试编写自己的规则，并尝试提出一个简单的规则，该规则在任何 IP 地址尝试访问我的 SMB 共享时都会引发警报。

看看其他SMB规则是怎么写的，我发现这个

alert smb any any -> any any (msg:"SURICATA SMB internal parser error"; flow:to_client; app-layer-event:smb.internal_error; classtype:protocol-command-decode; sid:2225001; rev:1;)

按照这种模式，我的规则应该是这样的：

alert smb any any -> any any (msg:"Attempt to gain access to SMB Share"; flow:to_server; app-layer-event:smb.???; classtype:protocol-command-decode; sid:1234567; rev:1)

但是，我无法弄清楚（或找到有关）要设置哪个 app_layer_event 的任何信息。有人可以在这里帮忙吗？这将不胜感激。

我是lua编程的新手。我正在寻找一个 lua 脚本，它可以读取通过 Suricata 从 Internet 下载的文件并检测文件是否已更改。任何帮助，将不胜感激。提前致谢。

像这样的东西：

如果内容相同则阻塞

我试图创建一个虚拟接口和一个VLAN接口作为suricata手册中要求的接口，但是我完全失败了。

所以....你有什么想法吗？
多谢。:)

以下是一些系统信息：
OS：Gentoo Linux
Init：OpenRC 0.43.5 Kenerl
：linux-5.14.9-xanmod1-cacule
Glibc：glibc-2.33-r1

我正在使用 Suricata 规则开发 AWS 网络防火墙，以通过 FQDN 将特定源 IP 地址过滤到不同的目的地，主要用于 HTTP 和 HTTPS。

正如我所见，HTTPS 使用 TLS SNI 进行过滤，是否也可以通过 TLS 应用于 SMTP？

严格规则顺序的示例规则：

但是，如果我不包括最后一条规则，它就无法通过 587 端口上的任何流量。

TLS 控制是否能够应用于 SMTP，类似于仅允许 FQDN 到特定目标的 HTTPS？

感谢您的帮助。

我正在研究使用 Suricata IPS 规则实施 AWS 网络防火墙，并且发现很难找到与规则等相关的真实示例和想法。我们的客户强调IPS、IDS 和反恶意软件。

我今天的设置是 Internet Gateway -> Application Load Balancer -> Auto-scaling ECS 容器。如果我错了，请纠正我，但防火墙适合 IG 和 ALB 之间？

我花了一些时间盯着下面的屏幕；

我最初的问题是；

1. 我如何确定哪些规则适用于我？
2. 什么是真正的“容量”？

从第一个开始，我相信我可以选择的规则都列在这里，最初我认为我肯定想使用他们提供的所有 30k (?) 规则。再想一想，我认为这可能会影响我们最终用户的响应能力。那么，如果我在考虑 IPS，对于向公众开放端口 80 和 443 的 Web 解决方案，哪些规则集是必要的？如果我查看包含所有“新兴”规则的文件，他们列出了大约 30k 条规则，但我几乎不认为它们都与我相关。

关于第二点容量，亚马逊解释如下；

规则组允许的最大处理能力。将有状态规则组的容量要求估计为您希望添加的规则数。更新规则组时不能更改或超出此设置。

最初我认为“一个容量”是指一条线（任何规则集中的一条规则），但后来我明白一条线本身可能需要多达 450 个“容量”（我已经丢失了我阅读/解释这个的链接）。

我知道这个主题很大，而且我在防火墙方面有点新手，但是谁能告诉我如何解决这个问题？我觉得好像我不确定我在问什么，所以如果我需要澄清任何事情，请告诉我。

我在 debian 10 上设置 suricata 以使用以下运行命令阻止预期的请求：

每当我收到匹配被阻止的请求时，例如：

Suricata 将在此错误之后立即停止：

文件能力的输出是：

我该怎么做才能让它现在工作？

我无法通过 Suricata 收集日志。我检查了 SPAN 端口是否复制了网络流量，结果证明没问题。在系统 Internet 出口的接口上，Suricata 看到了流量。我还测试了testmyids.com，反响很好。使用 SPAN 端口设置接口后，eve.json 中什么也没有出现的原因可能是什么？

我正在使用 pkill 通过 python 子进程向 suricata 发送 USR2 信号，如下所示：

结果是：exit_status = -12

当我在终端上执行时：

结果是：0

据我了解文档在https://docs.python.org/3/library/subprocess.html#subprocess.CompletedProcess.returncode

Python是否检测到pkill进程或suricata进程的返回码是12？

当成功将 USR2 发送到 suricata 并且与进程的反馈相对应的负退出代码时，如何绕过此机制并强制subprocess.call返回 0 ？pkillpkill