如何在Linux上安裝Suricata防入侵

2015-09-16 13:28 作者：admin 瀏覽量：

　　隨著越來越多的服務器將網卡升級到10GB/40GB以太網技術，我們越來越難在大眾化硬件上以線速實施計算密集型入侵檢測。擴展IDS性能的一個方法就是使用多線程IDS。在這種IDS下，大量耗用CPU資源的深度數據包檢查工作負載并行化處理，分成多個并發任務。這種并行化檢查機制可以充分發揚多核硬件的優勢，輕松擴展IDS的處理能力。(北京it外包)

　　在Linux上安裝Suricata IDS可以用源代碼構建Suricata。

　　先要安裝幾個所需的依賴項：(1)在Debian、Ubuntu或Linux Mint上安裝依賴項(2)在CentOS、Fedora或RHEL上安裝依賴項

　　一旦你安裝了所有必需的程序包，現在可以安裝Suricata了。首先，從suricata相關站點下載最新的Suricata源代碼，編譯代碼。安裝完命令，存儲在/etc/suricata/rules下。

　　接著可以配置Suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本編輯工具打開文件，以便編輯。

　　“default-log-dir”關鍵字應該指向Suricata日志文件的位置。

　　在“vars”這部分下面，你會找到Suricata使用的幾個重要變量。“HOME_NET”應該指向由Suricata檢查的本地網絡。“!$HOME_NET”(被分配給EXTERNAL_NET)指本地網絡以外的任何網絡。“XXX_PORTS”表明不同服務所使用的一個或多個端口號。請注意：不管使用哪個端口， Suricata都能自動檢測HTTP流量。所以，正確指定HTTP_PORTS變量并不是很重要。

　　“host-os-policy”這部分用來防范一些利用操作系統的網絡堆棧的行為(比如TCP重組)來規避檢測的常見攻擊。作為一項應對措施，現代IDS想出了所謂的“基于目標的”檢測，檢查引擎根據流量的目標操作系統，對檢測算法進行微調。因而，如果你知道每個本地主機運行什么操作系統，就可以將該信息提供給Suricata，從而有望提高其檢測速度。這時候用到了“host-os-policy“部分。在該例子中，默認的IDS策略是Linux;如果不知道某個IP地址的操作系統信息，Suricata就會運用基于Linux的檢查策略。如果捕獲到192.168.122.0/28和192.168.122.155的流量，Suricata就會運用基于Windows的檢查策略。（IT外包服務）

　　在“threading”這部分下面，你可以為不同的Suricata線程指定CPU親和性(CPU affinity)。默認情況下，CPU親和性被禁用(“set-cpu-affinity: no”)，這意味著Suricata線程將被安排在任何可用的CPU核心上。默認情況下，Suricata會為每個CPU核心創建一個“檢測”線程。你可以調整這個行為，只要指定“detect-thread-ratio: N”。這會創建N x M個檢測 線程，其中M是指主機上CPU核心的總數。

　　Suricata會創建1.5 x M個檢測線程，其中M是系統上CPU核心的總數。

　　想了解關于Suricata配置的更多信息，你可以閱讀默認的配置文件本身，為了便于理解，加有大量注釋。

　　使用Suricata執行入侵檢測（網絡維護公司)

　　現在可以試著運行Suricata了。在啟動它之前，還有一個步驟要完成。

　　如果你使用pcap捕獲模式，強烈建議關閉Suricata偵聽的那個網卡上的任何數據包卸載功能(比如LRO/GRO)，因為那些功能可能會干擾數據包實時捕獲。

　　接著講解如何關閉網絡接口eth0上的LRO/GRO：

　　Suricata支持多種運行模式。運行模式決定了不同的線程如何用于IDS。下面這個命令列出了所有可用的運行模式。

　　Suricata使用的默認運行模式是autofp(代表“自動流綁定負載均衡模式”)。在這種模式下，來自每一路流的數據包被分配給單一的檢測線程。流被分配給了未處理數據包數量最少的線程。

　　最后，不妨啟動Suricata，看看它的實際運行情況。

　　艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.richjn.cn