반응형
# 백그라운드로 실행(-D)
# suricata -D -c /etc/suricata/suricata.yaml --af-packet => 컴파일 시 af-packet을 지원해야한다.
# suricata -D -c /etc/suricata/suricata.yaml -i br0 => br0은 브릿지 모드이다.
[ 로그 확인 ]
# /etc/suricata/suricata.yaml파일의 설정에 따라 로그가 생성된다.
# ls /var/log/suricata (아래는 기본 로그이다.)
fast.log => 룰에 의한 접속 로그
http.log => http호출 헤더 정보
stat.log => 필터링 Counter, TM Name, Value를 보여줌
unified2.alert.숫자 => 접속 페이지 소스 저장
[ 환경 설정 ]
#rules 설정 파일 : /etc/suricata/suricata.yaml =>룰파일 추가 및 수정 시 적용 위치
default-rule-path: /etc/suricata/rules
rule-files:
- botcc.rules
- ciarmy.rules
- compromised.rules
#남기고자하는 상태를 no->yes로 바꾸면 해당 파일로 로그가 생성된다.
예) - drop:
enabled: yes
filename: drop.log
append: yes
행위 설정 파일 : /etc/suricata/rules/*.rules
alert http $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS 어쩌구 저쩌구
alert가 행위 상태를 말해준다. 만약 drop이 필요하면 아래와 같이 한다.
pass, drop, reject, alert 모드가 있다.
drop http $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS 어쩌구 저쩌구
# 실행 모드를 ips를 적용해야 패킷 drop이 가능하다.
af-packet:
copy-mode: ips
사이트 참고 - https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml
*) - 로그 관리를 해주자. 무시하면 디스크 풀난다.
- 룰 다운로드 : https://rules.emergingthreats.net/open/
[ 기타 ]
# 특정 포트 대역을 차단하는 iptables룰이다.
# 토렌트의 경우 랜덤한 포트를 사용하기때문에 차단에 한계가 있다.
iptables -I FORWARD -p tcp -m multiport --dports 6882:6899 -m iprange --src-range 10.0.0.1-10.0.0.255 -j DROP
iptables -I FORWARD -p udp -m multiport --dports 6882:6899 -m iprange --src-range 10.0.0.1-10.0.0.255 -j DROP
* 룰 형식이 필요하면 아래 사이트를 방문하자.
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules
반응형
'프로젝트 관련 조사 > 수리카타' 카테고리의 다른 글
IDS 설치 : 우분투에 수리카타(Suricata) 와 브로(Bro) 설치하기 (0) | 2015.11.07 |
---|