Suricata IDS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
==Local Rules== | ==Local Rules== | ||
| − | * | + | |
| + | * ''flow:to_server'' bei ICMP ist wichtig, damit ICMP '''nicht''' als [https://forum.suricata.io/t/i-can-only-see-the-first-alert-of-a-rule/901 IP-only] verstanden wird | ||
| + | * '''vim /etc/suricata/rules/local.rules''' | ||
| + | |||
alert icmp any any -> any any (msg:"ICMP Test"; flow:to_server; sid:1;) | alert icmp any any -> any any (msg:"ICMP Test"; flow:to_server; sid:1;) | ||
alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:2;) | alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:2;) | ||
| − | *https://suricata.readthedocs.io/en/suricata-6.0.0/rules/ | + | * https://suricata.readthedocs.io/en/suricata-6.0.0/rules/ |
==Suricata starten== | ==Suricata starten== | ||
Version vom 19. September 2023, 20:07 Uhr
Local Rules
- flow:to_server bei ICMP ist wichtig, damit ICMP nicht als IP-only verstanden wird
- vim /etc/suricata/rules/local.rules
alert icmp any any -> any any (msg:"ICMP Test"; flow:to_server; sid:1;) alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:2;)
Suricata starten
- Der Systemd Service ist leider verbuggt
- manchmal muss die PID File manuell gelöscht werden bevor es starten kann
- rm /var/run/suricata.pid
- Stattdessen diesen Befehl verwenden
- suricata -D --af-packet -c /etc/suricata/suricata.yml
Suricata stoppen
- Suricata kann über einen UNIX Socket gesteuert werden
- Ein Python-Interface dafür bietet suricatasc
- suricatasc -c shutdown
- suricatasc -c reload-rules
check
- tail -f /var/log/suricata/fast.log