Eigene Regeln
- Eigene Regeln kommen nach /usr/local/etc/suricata/rules
- Mann kann sie nicht auf der Weboberfläche erstellen
- Am besten man macht eine eigene Datei mit der Endung *.rules
- Man findet sie auf der Weboberfläche dann direkt unter
- Indrusion Detection
- Sie müssen aber noch aktiviert werden.
- Wenn man den IPS Modus ausgewählt hat, kann man zwischen Alert und Drop auswählen.
- Drop funktioniert momentan nur bei einem Interface.
Untersuchungen mit Chrome
Beispiele
# ICMP: einfacher Ping/Traceroute (schneller Funktionstest)
# Test: ping -c 1 1.1.1.1
alert icmp any any -> any any (msg:"ICMP Test"; classtype:misc-activity; sid:9000041;)
# HTTP: mögliches Command-Injection-Merkmal (Semikolon) in POST-Body
# Test: curl -X POST http://www.it2XX.int/host.php --data-urlencode "fqdn=example.com;ls" -d "submit=Auflösen"
alert http any any -> any any (msg:"Command Injection - Semicolon in POST DATA"; classtype:web-application-attack; flow:established; content:"%3B"; nocase; http_client_body; sid:9000002;)
# HTTP: mögliches SQLi-Merkmal (einfaches Hochkomma) in POST-Body
# Test: curl -X POST http://www.it2XX.int/sql-classic.php --data-urlencode "username=' OR '1'='1' --"
alert http any any -> any any (msg:"Possible SQL Injection (singlequote in POST)"; classtype:web-application-attack; flow:established,to_server; content:"%27"; nocase; http_client_body; sid:9000003;)
# DNS: Policy - verbietet "google" in DNS-Queries
# Test: host google.de
drop dns any any -> any any (msg:"Kein Googlen"; dns.query; content:"google"; nocase; classtype:policy-violation; sid:9000043;)
# DoS: viele identische kurze HTTP-GETs (LOIC-ähnlich)
# Test: ab -n 1000 -c 500 http://www.it2XX.int/
drop tcp any any -> any any (msg:"ET DOS Terse HTTP GET Likely LOIC"; flow:to_server,established; dsize:18; content:"GET / HTTP/1.1|0d 0a 0d 0a|"; depth:18; threshold:type both,track by_dst,count 500,seconds 60; classtype:own-dos; sid:9000054; rev:2;)
# Scan: TCP SYN-Sweep (viele SYN in kurzer Zeit)
# Test: nmap -sS -p1-100 10.88.2XX.21
drop tcp any any -> any any (msg:"OWN SCAN TCP SYN sweep"; flow:stateless,to_server; flags:S; detection_filter:track by_src,count 20,seconds 5; classtype:attempted-recon; sid:9000060; rev:1;)
# Scan: TCP NULL-Scan (keine Flags gesetzt)
# Test: nmap -sN -p1-100 10.88.2XX.21
drop tcp any any -> any any (msg:"OWN SCAN TCP NULL scan"; flow:stateless,to_server; flags:0; detection_filter:track by_src,count 5,seconds 10; classtype:attempted-recon; sid:9000061; rev:1;)
# Scan: UDP-Sweep mit leerer Payload
# Test: nmap -sU --min-rate=1000 10.88.2XX.21
drop udp any any -> any any (msg:"OWN SCAN UDP sweep (empty probes)"; flow:to_server; dsize:0; detection_filter:track by_src,count 15,seconds 10; classtype:attempted-recon; sid:9000064; rev:1;)
# Scan: ICMP Ping-Sweep (viele Echo-Requests)
# Test: nmap -sn 10.88.2XX.0/24
drop icmp any any -> any any (msg:"OWN SCAN ICMP ping sweep"; itype:8; detection_filter:track by_src,count 10,seconds 5; classtype:attempted-recon; sid:9000065; rev:1;)
# Brute Force SSH
# Test: hydra -l kit -P bad-passwords ssh://10.88.2XX.21
drop tcp any any -> any 22 (msg:"OWN SSH Brute Force"; flow:to_server,stateless; flags:S; detection_filter:track by_src,count 10,seconds 60; classtype:attempted-recon; sid:9000066; rev:1;)
# HTTP: sqlmap User-Agent erkennen
# Test: sqlmap -u "http://www.it2XX.int/sql-classic.php" --data "username=test"
alert http any any -> any any (msg:"SQLmap Scanner detected"; http.user_agent; content:"sqlmap"; nocase; classtype:web-application-attack; sid:9000070; rev:1;)
# HTTP: curl User-Agent erkennen
# Test: curl http://www.it2XX.int/host.php
alert http any any -> any any (msg:"curl User-Agent detected"; http.user_agent; content:"curl"; nocase; classtype:policy-violation; sid:9000071; rev:1;)
# ICMP Tunnel - großes Payload
# Test: ping -c 5 -s 500 10.88.2XX.21
alert icmp any any -> any any (msg:"OWN ICMP Large Payload - possible tunnel"; itype:8; dsize:>200; classtype:misc-attack; sid:9000072; rev:1;)
# TCP SYN Flood
# Test: hping3 -S --flood -V -p 80 10.88.2XX.21
alert tcp any any -> any any (msg:"TCP SYN Flood Potential Detected"; flags:S; threshold: type both, track by_dst, count 150, seconds 10; classtype:misc-attack; sid:9000073; rev:1;)
# SSH Connection Attempt
# Test: ssh root@10.88.2XX.21
alert tcp any any -> any 22 (msg:"SSH Connection Attempt"; content:"SSH"; nocase; classtype:misc-activity; sid:9000074; rev:1;)
| Schlüsselwort
|
Beschreibung
|
| alert / drop
|
Aktion bei Regelübereinstimmung. alert erzeugt einen Logeintrag, drop verwirft das Paket zusätzlich.
|
| icmp / tcp / udp / http / dns
|
Protokoll das überwacht wird.
|
| any
|
Platzhalter für beliebige IP-Adresse oder Port.
|
| ->
|
Richtung des Datenverkehrs (Quelle → Ziel).
|
| msg:"..."
|
Beschreibung die im Alert-Log erscheint.
|
| classtype:...
|
Kategorie des Angriffs (z.B. web-application-attack, attempted-recon, policy-violation).
|
| sid:...
|
Eindeutige Signatur-ID der Regel. Eigene Regeln beginnen ab 9000000.
|
| flow:...
|
Verbindungsstatus (z.B. established, to_server, stateless).
|
| content:"..."
|
Zeichenkette nach der im Paketinhalt gesucht wird.
|
| nocase
|
Groß-/Kleinschreibung wird beim content-Vergleich ignoriert.
|
| http_client_body
|
Sucht den content nur im HTTP-Request-Body.
|
| http.user_agent
|
Sucht den content im HTTP User-Agent Header.
|
| dns.query
|
Sucht den content im DNS-Query-Namen.
|
| flags:...
|
TCP-Flags (z.B. S=SYN, F=FIN, FPU=XMAS).
|
| itype:...
|
ICMP-Typ (z.B. 8 = Echo Request).
|
| dsize:...
|
Größe der Nutzdaten in Bytes.
|
| detection_filter:...
|
Schwellenwert für Häufigkeit bevor die Regel auslöst.
|
| threshold:...
|
Begrenzung wie oft ein Alert pro Zeitraum ausgelöst wird.
|
| rev:...
|
Revisionsnummer der Regel.
|