сурикат это высокопроизводительный сетевой движок IDS (Система обнаружения вторжений), IPS и сетевая безопасность, разработанные OISF, это кроссплатформенное приложение с открытым исходным кодом и Является собственностью некоммерческий фонд сообщество Open Information Security Foundation (ОИСФ).
Он основан на наборе правил внешне развитый для мониторинга сетевого трафика и оповещать системного администратора о подозрительных событиях. Создан для совместимости с существующими компонентами сетевой безопасности, предлагает унифицированные функции вывода и возможности подключаемой библиотеки для приема вызовов из других приложений. Будучи многопоточным механизмом, он обеспечивает повышенную скорость и эффективность анализа сетевого трафика.
Сейчас находится в своей версии 4.0 с улучшенными возможностями обнаружения вторжений, а также поддержкой большего количества протоколов и опций, улучшением механизма потока TCP и его IDS.
Как установить Suricata на Ubuntu?
Как я уже упоминал, он поддерживает разные операционные системы, и Ubuntu не исключение. имеет официальный репозиторий которые мы можем добавить и установить в нашей системе, просто введите следующие команды:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
В случае наличия Ubuntu 16.04 или проблем с зависимостями, с помощью следующей команды это решается:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Установка завершена, рекомендуется отключить любой пакет функций offloead на сетевом адаптере, который слушает Суриката.
Они могут отключить LRO / GRO на сетевом интерфейсе eth0 с помощью следующей команды:
sudo ethtool -K eth0 gro off lro off
Meerkat поддерживает несколько режимов работы. Мы можем увидеть список всех режимов выполнения с помощью следующей команды:
sudo /usr/bin/suricata --list-runmodes
По умолчанию используется режим работы autofp, что означает «автоматическая балансировка нагрузки с фиксированным потоком». В этом режиме пакеты из каждого отдельного потока назначаются одному потоку обнаружения. Потоки назначаются потокам с наименьшим количеством необработанных пакетов.
Теперь мы можем перейти к запустить Suricata в режиме реального времени pcap , используя следующую команду:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal
Если вы хотите узнать немного больше о вариантах, которые предлагает нам Суриката, я оставляю вас ссылку где вы можете узнать все об этом удивительном программном обеспечении.
Элизабет Аристисабаль Гомес
Я всегда хотел далеко уйти в жизни. ?
а затем как мне увидеть, что он обнаруживает?