![TorrentHound алтернативи: 15 най-добри торент сайтове от 2020 г.](/f/c4be6e03f74779132e73ad63ade225c6.png?width=100&height=100)
Суриката е модерен с висока производителност с отворен код Откриване на мрежови прониквания, Предотвратяване и Система за наблюдение на сигурността за Unix/Linux, FreeBSD и Windows базирани системи. Той е разработен и притежаван от фондация с нестопанска цел OISF (Отворена фондация за информационна сигурност).
Наскоро, OISF екипът на проекта обяви пускането на Суриката 1.4.4 с малки, но решаващи актуализации и коригирани някои съществени грешки в предишната версия.
Суриката се основава на правила Засичане на проникване и Предотвратяване двигател, който използва външно разработени правила за следи мрежовия трафик, както и способни да се справят трафик с няколко гигабайта и дава предупреждения по имейл на Система/Мрежа администратори.
Суриката осигурява бързина и значение при определяне на мрежовия трафик. Двигателят е разработен, за да приложи увеличената процесорна мощност, предлагана от съвременните многоядрени хардуерни чипове.
Двигателят предоставя не само ключови думи за TCP, UDP, ICMP и IP, но също така има вградена поддръжка за HTTP, FTP, TLS и SMB. Системният администратор може да създаде свое собствено правило за откриване на съвпадение в HTTP поток. Това ще стане различно Откриване на зловреден софтуер и контрол.
Двигателят със сигурност ще приеме такива правила IP съвпадения въз основа на RBN и компрометиран IP списъци при Възникващи заплахи и ги съхранявайте в специфичен бързо съвпадащ препроцесор.
Прочетете също: Инсталирайте LMD - Linux Malware Detect в Linux
Трябва да използвате Хранилището на EPEL на Fedora да инсталирате някои необходими пакети за i386 и x86_64 системи.
Преди да можете да компилирате и изграждате Суриката за вашата система инсталирайте следните пакети от зависимости, които са необходими за по -нататъшна инсталация. Процесът може да отнеме известно време, в зависимост от скоростта на интернет.
# yum -y инсталирайте libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c ++ automake autoconf libtool направи libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel магия magic-devel файл file-devel
След това изградете Суриката с IPS поддържа. За това трябва да имаме „libnfnetlink" и "libnetfilter_queue”Пакети, но тези готови пакети не са налични в EPEL или CentOS Базови хранилища. Така че, ние трябва да изтеглите и инсталирате rpms от Възникващи заплахи CentOS хранилище.
# rpm -Uuh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
# rpm -Uuh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
Изтеглете най -новото Суриката изходни файлове и го изградете с помощта на следните команди.
# cd /tmp. # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz. # tar -xvzf suricata -1.4.4.tar.gz. # cd суриката-1.4.4
Сега използваме Автоматична настройка на Suricata функция за автоматично създаване на всичко необходимо директории, конфигурационни файлове и най -новата набори от правила.
# ./configure && make && make install-conf. # ./configure && make && make install-rules. # ./configure && make && make install-full
Преди да започнете инсталацията, трябва да имате инсталирани следните пакети от предварителни изисквания в системата, за да продължите по-нататък. Уверете се, че сте корен потребител, за да изпълни следната команда. Този процес на инсталиране може да отнеме известно време, в зависимост от текущата скорост на вашия интернет.
# apt-get -y инсталирайте libpcre3 libpcre3-dbg libpcre3-dev \ build-съществен autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \ pkg-config магически файл libhtp-dev
По подразбиране работи като IDS. Ако искате да добавите IDS поддръжка, инсталирайте някои необходими пакети, както следва.
# apt-get -y инсталирайте libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
Изтеглете най -новото Суриката tar-ball и го изградете с помощта на следните команди.
# cd /tmp. # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz. # tar -xvzf suricata -1.4.4.tar.gz. # cd суриката-1.4.4
Използвайте Автоматична настройка на Suricata опция за създаване на всичко необходимо директории, конфигурационни файлове и набори от правила автоматично, както е показано по -долу.
# ./configure && make && make install-conf. # ./configure && make && make install-rules. # ./configure && make && make install-full
След изтегляне и инсталиране Суриката, сега е време да продължите Основна настройка. Създайте следните дирекции.
# mkdir/var/log/suricata. # mkdir /etc /suricata
Следващата част е да копирате конфигурационни файлове като „класификация.конфиг“, “reference.config" и "suricata.yaml”От директорията за инсталиране на базовата конструкция.
# cd /tmp/suricata-1.4.4. # cp класификация.config /etc /suricata. # cp reference.config /etc /suricata. # cp suricata.yaml /etc /suricata
Накрая стартирайте „Двигател на Суриката”И посочете името на интерфейсното устройство по ваш избор. Вместо eth0, можете да включите мрежовата карта по ваше предпочитание.
# suricata -c /etc/suricata/suricata.yaml -i eth0 23/7/2013 - 12:22:45 - - Това е версия на Suricata 1.4.4 RELEASE. 23/7/2013 - 12:22:45 - - Процесори/ядра онлайн: 2. 23/7/2013 - 12:22:45 - - Намерен MTU от 1500 за „eth0“ 23/7/2013 - 12:22:45 - - разпределени 2097152 байта памет за дефрагментиране на хеш... 65536 кофи с размер 32. 23/7/2013 - 12:22:45 - - предварително разпределени 65535 дефрагментиращи тракери с размер 104. 23/7/2013 - 12:22:45 - - използване на дефрагментирана памет: 8912792 байта, максимум: 33554432. 23/7/2013 - 12:22:45 - - Режим AutoFP, използващ балансиращо натоварване на потока "Активни пакети" по подразбиране. 23/7/2013 - 12:22:45 - - предварително разпределени 1024 пакета. Обща памет 3170304. 23/7/2013 - 12:22:45 - - разпределени 131072 байта памет за хеш на хоста... 4096 кофи с размер 32. 23/7/2013 - 12:22:45 - - предварително разпределени 1000 хоста с размер 76. 23/7/2013 - 12:22:45 - - използване на паметта на хоста: 207072 байта, максимум: 16777216. 23/7/2013 - 12:22:45 - - разпределени 2097152 байта памет за потока хеш... 65536 кофи с размер 32. 23/7/2013 - 12:22:45 - - предварително разпределени 10000 потока с размер 176. 23/7/2013 - 12:22:45 - - използване на поточна памет: 3857152 байта, максимум: 33554432. 23/7/2013 - 12:22:45 - - IP репутацията е деактивирана. 23/7/2013 - 12:22:45 - - с помощта на magic -file/usr/share/file/magic
След няколко минути проверете дали двигателят работи правилно и приема и инспектира трафика.
# cd/usr/local/var/log/suricata/ # ls -l -rw-r-r-- 1 корен 25331 23 юли 12:27 fast.log. drwxr-xr-x 2 root root 4096 23 юли 11:34 файлове. -rw-r-r-- 1 корен 12345 23 юли 11:37 http.log. -rw-r-r-- 1 корен корен 650978 23 юли 12:27 stats.log. -rw-r-r-- 1 корен корен 22853 23 юли 11:53 unified2.alert.1374557837. -rw-r-r-- 1 корен корен 2691 23 юли 12:09 unified2.alert.1374559711. -rw-r-r-- 1 корен корен 2143 23 юли 12:13 unified2.alert.1374559939. -rw-r-r-- 1 корен корен 6262 23 юли 12:27 unified2.alert.1374560613
Гледам "stats.log”Файл и се уверете, че показаната информация е актуализиран в реално време.
# tail -f stats.log tcp.reassembly_memuse | Откриване | 0. tcp.reassembly_gap | Откриване | 0. детектиране.сигнал | Откриване | 27. flow_mgr.closed_pruned | FlowManagerThread | 3. flow_mgr.new_pruned | FlowManagerThread | 277. flow_mgr.est_pruned | FlowManagerThread | 0. flow.memuse | FlowManagerThread | 3870000. flow.spare | FlowManagerThread | 10000. flow.emerg_mode_entered | FlowManagerThread | 0. flow.emerg_mode_over | FlowManagerThread | 0
Начална страница на Суриката
Ръководство за потребителя на Suricata