728x90
반응형
Suricata란?
- Open Source기반의 IDS(Intrusion detection system)
- Snort의 업그레이드 버전
- Snort와 가장 큰 차이점이라면, multi-core, mulit-threading 지원하는 것이 큰 차이
- Snort rule과 완벽 호환
- gpu 하드웨어 가속 지원
- lua로 시그니처 작성 가능
Suricata 설치(Install Suricata)
- sudo apt-get install suricata
Suricata 실행(Start Suricata)
-
suricata -s rule_set(사용자 지정 룰) -i NIC(네트워크 인터페이스)
-
ex) suricata -s test.rules -i eth0
-
-
로그 확인
-
tail -f /var/log/suricata/fast.log
-
Suricata Rule(suricata.readthedocs.io/en/suricata-6.0.0/rules/intro.html)
-
ex) alert tcp any any -> any any (msg:"kostat.go.kr access"; content:"GET /"; content:"Host: "; content:"kostat.go.kr"; sid:10001; rev:1;)
-
첫번째(alert) : 알림 출력
-
두번째(tcp) : Protocol
-
세번째, 네번째(any any) → 다섯번째, 여섯번째(any any) : src ip 및 src port → dst ip 및 dst port
-
일곱번째(msg) : alert 메세지 출력
-
content:"GET /"; content:"Host: "; content:"kostat.go.kr"; : Method 및 Headers(Host)
-
sid:10001 : 지정번호
-
- 그림 포함된 원본 글 : www.notion.so/Suricata-3b3a20c298444d9b871fc5956ff0eb38
728x90
반응형
