一、Suricata介绍
Suricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。它是由the Open Information Security Foundation开发,是一款开源的系统。Suricata引擎能够进行实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机pcap处理。
Suricata使用强大而广泛的规则和签名语言来检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁。借助YAML和JSON之类的标准输入和输出格式,以及与现有SIEM,Splunk,Logstash/ Elasticsearch,Kibana和其他数据库之类的工具的集成,就变得毫不费力。
二、Suricata主要特点
- 支持从nfqueue中读取流量;
- 支持分析离线pcap文件和pcap文件方式存储流量数据;
- 支持ipv6;
- 支持pcap,af_packet,pfring,硬件卡抓包;
- 多线程;
- 支持内嵌lua脚本,以实现自定义检测和输出脚本;
- 支持ip信用等级;
- 支持文件还原;
- 兼容snort规则;
- 支持常见数据包解码:IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN, VXLAN;
- 支持常见应用层协议解码:HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5,
IKEv2, SIP, SNMP, RDP;
三、运行模式
有三种运行模