Suricata规则配置

Suricata 规则配置

---

---

IDS/IPS/WAF

---

IPS、IDS和WAF分别是入侵防御系统和入侵检测系统以及WEB应用防火墙的简称，很多人说这些玩意不就是盒子吗已经过时了，其实不是，SIEM其实是有效的正规的打法，对于内网安全监控室非常必要的东西。之前大家的方式都是摒弃盒子思维，觉得盒子不靠谱防御不了真正的攻击行为。这样的理解难说不是国内众多盒子厂商（本人待过很多）走低价竞争路线的一个恶性的结果。其实在数据驱动安全的几天，盒子的作用绝不是简单的匹配规则阻断攻击这么简单的了，而是成为内网信息收集的一个Agent节点，作为云化的安全能力中心节点的触角存在，这都是非常有意义而且有必要的。

当然，我们还需要其他的更多的日志，不仅是网络层面的，需要主机层的日志信息、服务应用的日志信息等等。

规则和验证脚本

---

那么作为云的触角和云的核心节点（安全能力节点）有两种能力是必须具备的。第一脆弱性的发现能力（POC、EXP）；第二就是威胁的监控能力，就是匹配规则。二者都来源于对攻击的理解。POC和EXP是模仿攻击的操作。规则是攻击行为的特征，是检测威胁的有效手段。废话不多说了，今天我们来学习Suricata规则。

Suricata规则范式

---

  alert tcp any any -> any any (msg:"";content:"";sid:1;rev:1;)

其实格式就是：
动作 协议 源地址 源端口 方向 目的地址 目的端口 (规则内容)
备注1：规则内容前面称为规则头部分
备注2：规则内容用分号分割，每一项都是一个key-value的键值对 ,如上图示例

Suricata 规则头

---

• 动作：
  • alert 告警
  • log 记录
  • pass 通过
  • drop 丢弃
• 协议：
  • TCP
  • UDP
  • ICMP
  • IP
  • Any
• 源和目的IP：
  • IP地址 举例 10.1.1.1 或者 ! 10.1.1.1 或则[1.1.1.1 , 1.1.1.2] 或者! [1.1.1.1 , 1.1.1.2]
  • IP地址段（CIDR）[10.0.0.0/24]
  • Any
• 元和目的端口：
  • 端口 80 或者 [80,443] 当然 ! 80 或者 ! [80,443] 再有 [1:80,[2,3]] [80:82]
  • Any
• 方向：
  • 单项 ->
  • 双向 <>

Suricata 规则内容

---

Meta-settings

• msg:"description"; 描述字段，报警的时候的一些描述信息，比如某某某攻击等的
• sid: 1; 签名ID编号 1-
• rev: 3; 修订版本 1-
• gid: 2; 组ID
• classtype:trojan-activity; 查看classification.config文件中的配置，后面有优先级。
• reference: bugtraq, 123; http://www.securityfocus.com/bid 或者 reference: url, www.info.nl
• priority:1; 优先级1-255 1-4常用 优先级越小越优先
• target:[src_ip|dest_ip] 报警时候回上报这个格式的，含义是[攻击源|攻击目标]

Header-Keyword

• ttl:10 数据包中的ttl
• ipopts:
  • rr 记录路由
  • eol list最后
  • nop
  • ts
  • sec
  • esec
  • lsrr
  • ssrr
  • satid
  • any
• sameip;当数据报文的源和目的IP相同时候
• ip_proto:
  • 1 ICMP
  • 6 TCP
  • 17 UDP
• id:1 每一个IP报文发送后id+1，一个IP报文的多个分片ID一致
• geoip
  - geoip: src, RU;
  - geoip: both, CN, RU;
  - geoip: dst, CN, RU, IR;
  - geoip: both, US, CA, UK;
  - geoip: any, CN, IR;
• TCP关键字：
  • ack:0;
  • seq:0;
  • window:55808;
  • 等等...
• ICMP关键字：
  • itype:8;
  • itype:>10;
  • icode 和itype类似
  • icmp_id 和 icmp_seq
• fragbits和fragoffset
  
  

prefilter 预过滤

prefilter之前的规则属于预过滤规则

payload 关键字

• content: ”............” ->
  • content:“a|0D|bc”;
  • content:”|61 0D 62 63|";
  • content:”a|0D|b|63|”;
• pcre:""
  • content:"index.";|http_uri;pcre:"";就可以匹配出content符合 index.的payload
• nocase; 忽略大小写
• depth:3 payload出现的具体位置
• offset:4 便宜量
• distance:2
  • content:"abc";content:"dev";distance:"1" -> payload:"abcsdev" 匹配成功
• within:4 判断 payload -> "abcxxxdefxxxddsew" content:"abc";content:"def";within:3 -> 第二个匹配段的结尾与第一个匹配段的结尾的距离在within的的数值之内。
  • content:"abc";content:"def";distance:4;within:9 -> abcxxxxdef 匹配成功 xxxx 距离4 f到从的距离是xxxx+payload2的长度 = 3+4 = 7
• isdataat:8 看看content结尾字符后面第isdataat位置是否还有数据
• dsize:345; payload长度,也可以是>或者<
• rpc 和RPC相关
  • rpc:100009,*,*;
• replace:"asd"; content:"abvd";replace:"abcd" 替换，只能用于IPS之中
• fast_pattern 略

HTTP 关键字

请求字段

Keyword	Sticky or Modifier	Direction
http_uri	Modifier	Request
http_raw_uri	Modifier	Request
http_method	Modifier	Request
http_request_line	Sticky Buffer	Request
http_client_body	Modifier	Request
http_header	Modifier	Both
http_raw_header	Modifier	Both
http_cookie	Modifier	Both
http_user_agent	Modifier	Request
http_host	Modifier	Request
http_raw_host	Modifier	Request
http_accept	Sticky Buffer	Request
http_accept_lang	Sticky Buffer	Request
http_accept_enc	Sticky Buffer	Request
http_referer	Sticky Buffer	Request
http_connection	Sticky Buffer	Request
http_content_type	Sticky Buffer	Both
http_content_len	Sticky Buffer	Both
http_start	Sticky Buffer	Both
http_protocol	Sticky Buffer	Both
http_header_names	Sticky Buffer	Both

响应字段

Keyword	Sticky or Modifier	Direction
http_stat_msg	Modifier	Response
http_stat_code	Modifier	Response
http_response_line	Sticky Buffer	Response
http_header	Modifier	Both
http_raw_header	Modifier	Both
http_cookie	Modifier	Both
http_server_body	Modifier	Response
file_data	Sticky Buffer	Response
http_content_type	Sticky Buffer	Both
http_content_len	Sticky Buffer	Both
http_start	Sticky Buffer	Both
http_protocol	Sticky Buffer	Both
http_header_names	Sticky Buffer	Both

以上用法

content:"xxxxxx";http_xxxx;
特例：

• uricontent:"xxxx";
• urilen:10 > <也可以
• http_header 不包含URI部分

流信息关键字

• flow:to_client 关键字：
  • to_client
  • to_server
  • from_client
  • from_server
  • established
  • not_established
  • stateless
  • only_stream
  • no_stream
  • only_frag
  • no_frag
• stream_size
  • >
  • <
  • =
  • !=
  • >=
  • <=

文件关键字

• filename:"a.php";
• fileext:"jpg";
• filemagic:"";
• filestore:[request|response],[file|tx|ssn]
• filenmd5:[!]filename; filenmd5:md5-blacklist;
• filesize:5 > < 也可以

阈值

• threshold: type , track , count , seconds
  • threshold: type threshold, track by_src, count 10, seconds 60;
• detection_filter: track , count , seconds

DNS关键字

dns_query;content:"域名"

转载于:https://www.cnblogs.com/KevinGeorge/p/8810354.html