Suricata е високопроизводителен IDS мрежов двигател (Система за откриване на проникване), IPS и мрежова сигурност, разработени от OISF, това е междуплатформено приложение с отворен код и Е собственост на фондация с нестопанска цел на общността на Фондацията за отворена информационна сигурност (OISF).
Тя се основава на набор от правила външно развит за наблюдение на мрежовия трафик и да предоставя предупреждения на системния администратор, когато възникнат подозрителни събития. Проектиран да бъде съвместим със съществуващите компоненти за мрежова сигурност, предлага унифицирана изходна функционалност и възможности за включване на библиотеки за приемане на повиквания от други приложения. Като двигател с много нишки той предлага повишена скорост и ефективност при анализа на мрежовия трафик.
Сега е във версията му 4.0 с подобрения във възможностите за откриване на проникване, а също и в поддръжката на повече протоколи и опции, подобрявайки механизма за TCP поток и неговите IDS.
Как да инсталирам Suricata на Ubuntu?
Както споменах, той има поддръжка за различни операционни системи и Ubuntu не е изключение, има официално хранилище които можем да добавим и да можем да инсталираме в нашата система, просто напишете следните команди:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
В случай, че имате Ubuntu 16.04 или имате проблеми със зависимости, със следната команда е решен:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Инсталацията завършена, Препоръчително е да деактивирате всеки пакет от функции за офлайн на NIC, който Suricata слуша.
Те могат да деактивират LRO / GRO на мрежовия интерфейс eth0, като използват следната команда:
sudo ethtool -K eth0 gro off lro off
Meerkat поддържа редица режими на работа. Можем да видим списъка с всички режими на изпълнение със следната команда:
sudo /usr/bin/suricata --list-runmodes
Използваният режим на изпълнение по подразбиране е autofp означава „автоматично балансиране на натоварването с фиксиран поток“. В този режим пакетите от всеки различен поток се присвояват на една нишка за откриване. Потоците се присвояват на нишките с най-малък брой необработени пакети.
Сега можем да пристъпим към стартирайте Suricata в pcap режим на живо , използвайки следната команда:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal
Ако искате да научите малко по-задълбочено за опциите, които ни предлага Suricata, оставям ви тази връзка където можете да проверите всичко за този невероятен софтуер.
Елизабет Аристизабал Гомес
Винаги съм искал да стигна далеч в живота. ?
и тогава как да видя какво открива?