Suricata 4.0 открива нарушители и следи мрежовия трафик

Suricata е високопроизводителен IDS мрежов двигател (Система за откриване на проникване), IPS и мрежова сигурност, разработени от OISF, това е междуплатформено приложение с отворен код и Е собственост на фондация с нестопанска цел на общността на Фондацията за отворена информационна сигурност (OISF).

Тя се основава на набор от правила външно развит за наблюдение на мрежовия трафик и да предоставя предупреждения на системния администратор, когато възникнат подозрителни събития. Проектиран да бъде съвместим със съществуващите компоненти за мрежова сигурност, предлага унифицирана изходна функционалност и възможности за включване на библиотеки за приемане на повиквания от други приложения. Като двигател с много нишки той предлага повишена скорост и ефективност при анализа на мрежовия трафик.

Сега е във версията му 4.0 с подобрения във възможностите за откриване на проникване, а също и в поддръжката на повече протоколи и опции, подобрявайки механизма за TCP поток и неговите IDS.

Как да инсталирам Suricata на Ubuntu?

Както споменах, той има поддръжка за различни операционни системи и Ubuntu не е изключение, има официално хранилище които можем да добавим и да можем да инсталираме в нашата система, просто напишете следните команди:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

В случай, че имате Ubuntu 16.04 или имате проблеми със зависимости, със следната команда е решен:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Инсталацията завършена, Препоръчително е да деактивирате всеки пакет от функции за офлайн на NIC, който Suricata слуша.

Те могат да деактивират LRO / GRO на мрежовия интерфейс eth0, като използват следната команда:

sudo ethtool -K eth0 gro off lro off

Meerkat поддържа редица режими на работа. Можем да видим списъка с всички режими на изпълнение със следната команда:

sudo /usr/bin/suricata --list-runmodes

Използваният режим на изпълнение по подразбиране е autofp означава „автоматично балансиране на натоварването с фиксиран поток“. В този режим пакетите от всеки различен поток се присвояват на една нишка за откриване. Потоците се присвояват на нишките с най-малък брой необработени пакети.

Сега можем да пристъпим към стартирайте Suricata в pcap режим на живо , използвайки следната команда:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Ако искате да научите малко по-задълбочено за опциите, които ни предлага Suricata, оставям ви тази връзка където можете да проверите всичко за този невероятен софтуер.