F17-Ubuntu安装开源IDS/IPS系统Suricata

# 说明
Suricata 是一个高性能的开源网络入侵检测和防御系统（IDS/IPS），由 Open Information Security Foundation（OISF）开发。它能够实时分析网络流量，识别和防御各种网络攻击，提高网络环境的安全性。
支持入侵检测系统（IDS）、入侵防御系统（IPS）和网络安全监控（NSM）等多种功能。

Suricata能够检测各种网络威胁，包括但不限于：
- 协议解析：支持多种协议，如TCP, UDP, ICMP, HTTP, FTP等。
- 签名匹配：使用类似于Snort的规则语言进行签名匹配，以检测已知攻击模式。
- 异常检测：可以检测到异常行为，如异常流量或潜在的恶意行为。
- 应用层检测：能够检测应用层的攻击和异常行为，例如SQL注入攻击。
- 流量分析：可以对网络流量进行深入分析，包括状态跟踪和流量重建。
- 实时响应：在检测到攻击时，可以实时阻断或记录攻击流量。

# 准备工作
准备一个Ubuntu操作系统
```
Ubuntu24.04免安装版，解压即可使用，大小4.4G，解压后8.7G
链接: https://pan.baidu.com/s/12jwyT-0EvWWEN8jzYjll7A?pwd=8888
已安装好SSH和Docker，root用户密码123456
```

# Suricata 官网
https://docs.suricata.io/

# 安装
安装依赖
`apt install gnupg2 software-properties-common`

添加 Suricata 存储库
`add-apt-repository ppa:oisf/suricata-stable --yes`

更新存储库缓存：
`apt update`

验证 Suricata 包：
`apt-cache policy suricata`

安装 Suricata：
`apt install suricata jq`

# surcata的基本命令
-c # 指定配置文件的路径
-T # 测试配置运行
-i # 指定网卡

# 修改配置文件
`vim /etc/suricata/suricata.yaml`

修改`HOME_NET`的值（默认有三个IP，这里我修改为NAT的网段）：
（输入`/HOME_NET`搜索，按回车）
![](/media/202503/2025-03-27_192946_1884210.3909043743342455.png)

修改网卡名称：
（输入`/interface`搜索，按回车）
`eth0`修改为`ens33`
![](/media/202503/2025-03-27_201448_7724080.7254022405476532.png)

更新 Suricata 配置：
`suricata-update`

![](/media/202503/2025-03-27_190915_9145580.15608039096809212.png)

验证 Suricata 配置文件：
`suricata -T -c /etc/suricata/suricata.yaml -v`

启动并启用 Suricata 服务：
`systemctl enable --now suricata`

# 日志目录
`cd /var/log/suricata`

## eve.json
该日志文件提供了详细的信息，包括流量细节、规则信息、负载数据等。eve.json 的每一条记录包含：时间戳、流ID、输入接口、事件类型。源源端口：21、目标IP、目标端口、协议、数据包来源、警报信息、动作开始时间、源IP、目标IP、源端口、目标端口等。

## fast.log
该日志文件包含了快速报警信息，提供了关于检测到的安全事件的简要摘要。
fast.log 的每一条记录包含：时间戳、条目的编号、当规则匹配时产生的警报消息msg、使用的协议、源IP地址、目标IP地址。

## stats.log
该日志文件包含有关 Suricata 运行状态和性能的统计信息，如吞吐量、警报数量、流量量等。

## suricata.log
该日志文件是 Suricata 的运行日志，记录了 Suricata 启动、运行和关闭过程中的各种信息。这包括配置加载、规则文件处理、错误消息、警告以及其他诊断信息。

# 测试告警
实时查看日志：
`tail -f /var/log/suricata/fast.log`

在安装suricata的虚拟机另开一个窗口，运行：
`curl http://testmynids.org/uid/index.html`

这条命令会返回一个触发告警的响应：
uid=0(root) gid=0(root) groups=0(root)

在日志窗口可以看到：

![](/media/202503/2025-03-27_203504_4483130.11935962822639956.png)

# 配置文件（这一步不需要操作）
目录：/etc/suricata

| 文件 | 作用 |
| --- | --- |
| classification.config | 用于定义和分类不同类型的网络事件，比如哪些是潜在的攻击、哪些是正常的网络活动等。 |
| reference.config | 包含了一些安全网站，漏洞平台的URL网址，用来联系外部的恶意攻击检测网站。 |
| suricata.yaml | Suricata的主要配置文件，它包含了规则配置、接口配置、日志配置、检测配置等。 |
| threshold.config | 用于定义流量的阈值和速率限制。设置在特定时间内对特定事件或签名的触发次数进行限制。 |

规则配置目录：
`/usr/share/suricata/rules`
这个目录存放的是 Suricata 软件包自带的规则文件。
这些规则通常是静态的，用于检测协议解码过程中的异常行为。
它们在 Suricata 的某个版本发布时就已经确定，不会随着日常更新而改变。

`/var/lib/suricata/rules`
这个目录存放的是通过 suricata-update 工具更新的规则文件。
这些规则文件会定期更新，例如从远程规则源（如 Emerging Threats 或其他威胁情报提供商）下载的规则。
它们是动态的，可以根据需要频繁更新，以应对新的威胁

规则集下载：
https://rules.emergingthreats.net/open/suricata-5.0/rules/

将下载后的ruls文件放在`/var/lib/suricata/rules/`目录下

修改配置文件：
（输入`/rule-files`搜索，按回车）
添加一行：
`- /var/lib/suricata/rules/*.rules`

![](/media/202503/2025-03-27_204629_5999430.9711052000238342.png)

重启suricata
```
systemctl stop suricata
systemctl start suricata
```

**注意事项**
Suricata在添加规则文件后，必须要使用 suricata-update 命令重新加载配置文件，否则规则会不生效，检测不到相应的恶意流量。
自定义的规则文件需要严按照官方的要求进行编写，使用 suricata -T 命令检测规则是否可以正常运行，否则规则文件无法被正确加载，服务无法正常启动。

规则参考：
https://docs.suricata.io/en/latest/rules/index.html
其他规则下载：
https://github.com/al0ne/suricata-rules

# Suricata分析离线流量
`suricata -c /etc/suricata/suricata.yaml -r /opt/test.pcapng -v`

将会在当前运行目录下生成eve.json, fast.log, stats.log, suricata.log 4个标准日志文件。

也可以使用 -l 选择指定日志目录
`suricata -c /etc/suricata/suricata.yaml -r /opt/test.pcapng -l /var/log/suricata/ -v`

# 停止 Suricata
```
systemctl stop suricata
rm -rf /var/run/suricata.pid
```

# IPS和WAF的区别
| 对比 | IPS | WAF |
| --- | --- | --- |
| 功能 | IPS主要用于检测和阻止网络中的恶意行为和攻击。它能够实时监控网络流量，识别并阻止各种类型的攻击，如缓冲区溢出攻击、木马、蠕虫等 | WAF专门用于保护Web应用程序，防止针对Web应用的攻击，如SQL注入、XSS（跨站脚本攻击）、CSRF（跨站请求伪造）等|
| 工作方式 | IPS通过分析网络流量的内容，结合签名匹配和异常检测技术，识别潜在的攻击行为，并采取措施（如丢弃恶意数据包、封锁攻击源IP地址） | WAF通过检查HTTP/HTTPS请求和响应的内容，基于预设的安全规则和签名，识别并拦截恶意请求 |
| 工作层次 | IPS通常工作在网络层（OSI模型的第3层）和传输层（第4层），也可以扩展到应用层（第7层），但其主要功能是监控整个网络流量 | 工作层次：WAF主要工作在应用层（OSI模型的第7层），专注于Web应用的HTTP/HTTPS
| 部署位置 | IPS通常部署在网络的关键位置，如网络边界、内部网络段和数据中心，用于监控流入和流出的流量 | WAF通常部署在Web服务器与外部网络之间，直接保护Web应用程序 |
| 适用场景 | 适用于需要实时监控和阻止各种网络攻击的场景，尤其是网络边界和内部网络的关键区域 | 适用场景：适用于保护Web应用程序，特别是涉及用户隐私和敏感信息的应用 |
| 成本 | IPS通常需要较高的硬件性能和复杂的配置，因此成本较高 | WAF的成本也较高，尤其是高性能的WAF设备或服务 |
| 响应方式 | IPS能够实时采取措施阻止攻击，如丢弃恶意数据包、封锁攻击源IP地址 | WAF通过拦截恶意请求、阻止恶意流量进入服务器来保护Web应用务 |
| 误报率 | 由于IPS需要监控广泛的网络流量，可能会产生较高的误报率| WAF通过更精确的规则和签名，能够有效降低误报率 |

总结
IPS：适用于需要实时监控和阻止各种网络攻击的场景，工作在网络层和传输层，部署在网络的关键位置，能够提供广泛的攻击防护。
WAF：专门用于保护Web应用程序，工作在应用层，部署在Web服务器与外部网络之间，能够有效防御针对Web应用的攻击。

# 开源安全产品全系列
F12-Linux安装雷池WAF
https://wiki.bafangwy.com/doc/704/

F13-Ubuntu安装开源堡垒机JumpServer
https://wiki.bafangwy.com/doc/820/

F14-Ubuntu安装开源蜜罐HFish
https://wiki.bafangwy.com/doc/821/

F15-Ubuntu安装开源杀软ClamAV
https://wiki.bafangwy.com/doc/822/

F16-开源态势感知系统liuying单机版使用方法
https://wiki.bafangwy.com/doc/823/

F17-Ubuntu安装开源IDS/IPS系统Suricata
https://wiki.bafangwy.com/doc/825/

D14-Windows虚拟机安装OpenEDR
https://wiki.bafangwy.com/doc/826/