一、Suricata介紹
Suricata是一個免費,開源,成熟,快速且強大的網絡威脅檢測引擎。它是由the Open Information Security Foundation開發,是一款開源的系統。Suricata引擎能夠進行實時入侵檢測(IDS),內聯入侵防禦(IPS),網絡安全監視(NSM)和脫機pcap處理。
Suricata使用強大而廣泛的規則和簽名語言來檢查網絡流量,並具有強大的Lua腳本支持來檢測複雜的威脅。藉助YAML和JSON之類的標準輸入和輸出格式,以及與現有SIEM,Splunk,Logstash/ Elasticsearch,Kibana和其他數據庫之類的工具的集成,就變得毫不費力。
二、Suricata主要特點
- 支持從nfqueue中讀取流量;
- 支持分析離線pcap文件和pcap文件方式存儲流量數據;
- 支持ipv6;
- 支持pcap,af_packet,pfring,硬件卡抓包;
- 多線程;
- 支持內嵌lua腳本,以實現自定義檢測和輸出腳本;
- 支持ip信用等級;
- 支持文件還原;
- 兼容snort規則;
- 支持常見數據包解碼:IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN, VXLAN;
- 支持常見應用層協議解碼:HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5,
IKEv2, SIP, SNMP, RDP;
三、運行模式
有三種運行模