如何在Linux上安裝Suricata防入侵

2015-09-16 13:28 作者：admin 瀏覽量：

　　隨著越來(lái)越多的服務(wù)器將網(wǎng)卡升級(jí)到10GB/40GB以太網(wǎng)技術(shù)，我們?cè)絹?lái)越難在大眾化硬件上以線(xiàn)速實(shí)施計(jì)算密集型入侵檢測(cè)。擴(kuò)展IDS性能的一個(gè)方法就是使用多線(xiàn)程IDS。在這種IDS下，大量耗用CPU資源的深度數(shù)據(jù)包檢查工作負(fù)載并行化處理，分成多個(gè)并發(fā)任務(wù)。這種并行化檢查機(jī)制可以充分發(fā)揚(yáng)多核硬件的優(yōu)勢(shì)，輕松擴(kuò)展IDS的處理能力。(北京it外包)

　　在Linux上安裝Suricata IDS可以用源代碼構(gòu)建Suricata。

　　先要安裝幾個(gè)所需的依賴(lài)項(xiàng)：(1)在Debian、Ubuntu或Linux Mint上安裝依賴(lài)項(xiàng)(2)在CentOS、Fedora或RHEL上安裝依賴(lài)項(xiàng)

　　一旦你安裝了所有必需的程序包，現(xiàn)在可以安裝Suricata了。首先，從suricata相關(guān)站點(diǎn)下載最新的Suricata源代碼，編譯代碼。安裝完命令，存儲(chǔ)在/etc/suricata/rules下。

　　接著可以配置Suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本編輯工具打開(kāi)文件，以便編輯。

　　“default-log-dir”關(guān)鍵字應(yīng)該指向Suricata日志文件的位置。

　　在“vars”這部分下面，你會(huì)找到Suricata使用的幾個(gè)重要變量。“HOME_NET”應(yīng)該指向由Suricata檢查的本地網(wǎng)絡(luò)。“!$HOME_NET”(被分配給EXTERNAL_NET)指本地網(wǎng)絡(luò)以外的任何網(wǎng)絡(luò)。“XXX_PORTS”表明不同服務(wù)所使用的一個(gè)或多個(gè)端口號(hào)。請(qǐng)注意：不管使用哪個(gè)端口， Suricata都能自動(dòng)檢測(cè)HTTP流量。所以，正確指定HTTP_PORTS變量并不是很重要。

　　“host-os-policy”這部分用來(lái)防范一些利用操作系統(tǒng)的網(wǎng)絡(luò)堆棧的行為(比如TCP重組)來(lái)規(guī)避檢測(cè)的常見(jiàn)攻擊。作為一項(xiàng)應(yīng)對(duì)措施，現(xiàn)代IDS想出了所謂的“基于目標(biāo)的”檢測(cè)，檢查引擎根據(jù)流量的目標(biāo)操作系統(tǒng)，對(duì)檢測(cè)算法進(jìn)行微調(diào)。因而，如果你知道每個(gè)本地主機(jī)運(yùn)行什么操作系統(tǒng)，就可以將該信息提供給Suricata，從而有望提高其檢測(cè)速度。這時(shí)候用到了“host-os-policy“部分。在該例子中，默認(rèn)的IDS策略是Linux;如果不知道某個(gè)IP地址的操作系統(tǒng)信息，Suricata就會(huì)運(yùn)用基于Linux的檢查策略。如果捕獲到192.168.122.0/28和192.168.122.155的流量，Suricata就會(huì)運(yùn)用基于Windows的檢查策略。（IT外包服務(wù)）

　　在“threading”這部分下面，你可以為不同的Suricata線(xiàn)程指定CPU親和性(CPU affinity)。默認(rèn)情況下，CPU親和性被禁用(“set-cpu-affinity: no”)，這意味著Suricata線(xiàn)程將被安排在任何可用的CPU核心上。默認(rèn)情況下，Suricata會(huì)為每個(gè)CPU核心創(chuàng)建一個(gè)“檢測(cè)”線(xiàn)程。你可以調(diào)整這個(gè)行為，只要指定“detect-thread-ratio: N”。這會(huì)創(chuàng)建N x M個(gè)檢測(cè) 線(xiàn)程，其中M是指主機(jī)上CPU核心的總數(shù)。

　　Suricata會(huì)創(chuàng)建1.5 x M個(gè)檢測(cè)線(xiàn)程，其中M是系統(tǒng)上CPU核心的總數(shù)。

　　想了解關(guān)于Suricata配置的更多信息，你可以閱讀默認(rèn)的配置文件本身，為了便于理解，加有大量注釋。

　　使用Suricata執(zhí)行入侵檢測(cè)（網(wǎng)絡(luò)維護(hù)公司)

　　現(xiàn)在可以試著運(yùn)行Suricata了。在啟動(dòng)它之前，還有一個(gè)步驟要完成。

　　如果你使用pcap捕獲模式，強(qiáng)烈建議關(guān)閉Suricata偵聽(tīng)的那個(gè)網(wǎng)卡上的任何數(shù)據(jù)包卸載功能(比如LRO/GRO)，因?yàn)槟切┕δ芸赡軙?huì)干擾數(shù)據(jù)包實(shí)時(shí)捕獲。

　　接著講解如何關(guān)閉網(wǎng)絡(luò)接口eth0上的LRO/GRO：

　　Suricata支持多種運(yùn)行模式。運(yùn)行模式?jīng)Q定了不同的線(xiàn)程如何用于IDS。下面這個(gè)命令列出了所有可用的運(yùn)行模式。

　　Suricata使用的默認(rèn)運(yùn)行模式是autofp(代表“自動(dòng)流綁定負(fù)載均衡模式”)。在這種模式下，來(lái)自每一路流的數(shù)據(jù)包被分配給單一的檢測(cè)線(xiàn)程。流被分配給了未處理數(shù)據(jù)包數(shù)量最少的線(xiàn)程。

　　最后，不妨啟動(dòng)Suricata，看看它的實(shí)際運(yùn)行情況。

　　艾銻無(wú)限是中國(guó)領(lǐng)先IT外包服務(wù)商，專(zhuān)業(yè)為企業(yè)提供IT運(yùn)維外包、電腦維護(hù)、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)布線(xiàn)、辦公設(shè)備維護(hù)、服務(wù)器維護(hù)、數(shù)據(jù)備份恢復(fù)、門(mén)禁監(jiān)控、網(wǎng)站建設(shè)等多項(xiàng)IT服務(wù)外包,服務(wù)熱線(xiàn)：400-650-7820 聯(lián)系電話(huà)：010-62684652 咨詢(xún)QQ1548853602 地址：北京市海淀區(qū)北京科技會(huì)展2號(hào)樓16D,用心服務(wù)每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價(jià)值。

　　更多的IT外包信息盡在艾銻無(wú)限http://www.qiaojiaju.cn