实验环境:
主机win10 ip地址:192.168.121.1
虚拟机使用vm ubuntu20.04 ip地址:192.168.121.128
实验目标:
从主机 给虚拟机 发送ping 命令 虚拟机中Suricata接收到ping后发出告警信息。
正文
在前面 编译好Suricata后(只需要make)在/home/daxian/Desktop/zs/suricata-6.0.8/src下多出了.libs/suricata ,如下图:
首先编写一条规则:
放到/home/daxian/Desktop/zs/rules/test.rules中
alert icmp any any -> 192.168.121.128 any (msg:"警告:检测到来自192.168.121.128的IP消息 这是IPonly"; sid:3;)
关于Suricata 规则(signatures)含义网上的含义很多,不多介绍。
这条规则的意思是: 收到 从 任何ip 任何端口 ->192.168.121.128(虚拟机的ip )的任何端口的 icmp消息时候,发出警告(alert),警告的内容是:警告:检测到来自192.168.121.128的IP消息 这是IPonly,这个规则的编号是(sid):3
然后在可执行文件的目录下运行命令:
sudo ./suricata -c /home/daxian/Desktop/zs/suricata-6.0.8/suricata.yaml -i ens33 -vvv -S /home/daxian/Desktop/zs/rules/test.rules -l /home/daxian/Desktop/zs/suricata-log-dir -k none
- 以sudo 运行suricata,
- 指定配置yaml文件为(-c):/home/daxian/Desktop/zs/suricata-6.0.8/suricata.yaml
- 指定监听的网卡端口为(-i):ens33 (就是ifconfig中前面那个标识符,如下图)
- 指定日志等级-vvv: 每多一个v就代表上升一个等级
- 指定采用的规则文件(-S):/home/daxian/Desktop/zs/rules/test.rules(注意:小写s是附加规则,-S是指定唯一的规则)
- 指定输出日志目录(-l):/home/daxian/Desktop/zs/suricata-log-dir (这个目录要提前创建好)
- 指定不启用校验码检查(-k): 因为有的http流量保存成pcap文件后重新读出会发现校验码错误,从而导致suricata检查不出来http,。。。不懂没关系加上就好 不影响正常的功能。
针对上面的规则不理解建议百度或者看文档:5. Command Line Options — Suricata 6.0.8 documentation
这里我不使用默认的配置(比如默认规则文件的位置 默认日志位置,是为了避免有些文件夹安装的位置会涉及到管理员权限 操作起来不方便 也不适合自己管理,手动指定省心,虽然每次敲命令有点麻烦)
运行命令后的结果如下图:
有点警告不影响
。。。。。
说明运行成功。
同时发现指定的日志目录下多了几个文件:
使用sudo tail -f eve.json|jq 'select(.event_type=="alert")' 命令查看文件,没有jq工具的话sudo apt get install 就好
接着主机发送ping 命令给虚拟机 (当然你要保证原本就能ping通)
你就发现Suricata 发送了告警信息:
