如何在Linux上安装Suricata防入侵

2015-09-16 13:28 作者：admin 浏览量：

　　随着越来越多的服务器将网卡升级到10GB/40GB以太网技术，我们越来越难在大众化硬件上以线速实施计算密集型入侵检测。扩展IDS性能的一个方法就是使用多线程IDS。在这种IDS下，大量耗用CPU资源的深度数据包检查工作负载并行化处理，分成多个并发任务。这种并行化检查机制可以充分发扬多核硬件的优势，轻松扩展IDS的处理能力。(北京it外包)

　　在Linux上安装Suricata IDS可以用源代码构建Suricata。

　　先要安装几个所需的依赖项：(1)在Debian、Ubuntu或Linux Mint上安装依赖项(2)在CentOS、Fedora或RHEL上安装依赖项

　　一旦你安装了所有必需的程序包，现在可以安装Suricata了。首先，从suricata相关站点下载最新的Suricata源代码，编译代码。安装完命令，存储在/etc/suricata/rules下。

　　接着可以配置Suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本编辑工具打开文件，以便编辑。

　　“default-log-dir”关键字应该指向Suricata日志文件的位置。

　　在“vars”这部分下面，你会找到Suricata使用的几个重要变量。“HOME_NET”应该指向由Suricata检查的本地网络。“!$HOME_NET”(被分配给EXTERNAL_NET)指本地网络以外的任何网络。“XXX_PORTS”表明不同服务所使用的一个或多个端口号。请注意：不管使用哪个端口， Suricata都能自动检测HTTP流量。所以，正确指定HTTP_PORTS变量并不是很重要。

　　“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如TCP重组)来规避检测的常见攻击。作为一项应对措施，现代IDS想出了所谓的“基于目标的”检测，检查引擎根据流量的目标操作系统，对检测算法进行微调。因而，如果你知道每个本地主机运行什么操作系统，就可以将该信息提供给Suricata，从而有望提高其检测速度。这时候用到了“host-os-policy“部分。在该例子中，默认的IDS策略是Linux;如果不知道某个IP地址的操作系统信息，Suricata就会运用基于Linux的检查策略。如果捕获到192.168.122.0/28和192.168.122.155的流量，Suricata就会运用基于Windows的检查策略。（IT外包服务）

　　在“threading”这部分下面，你可以为不同的Suricata线程指定CPU亲和性(CPU affinity)。默认情况下，CPU亲和性被禁用(“set-cpu-affinity: no”)，这意味着Suricata线程将被安排在任何可用的CPU核心上。默认情况下，Suricata会为每个CPU核心创建一个“检测”线程。你可以调整这个行为，只要指定“detect-thread-ratio: N”。这会创建N x M个检测 线程，其中M是指主机上CPU核心的总数。

　　Suricata会创建1.5 x M个检测线程，其中M是系统上CPU核心的总数。

　　想了解关于Suricata配置的更多信息，你可以阅读默认的配置文件本身，为了便于理解，加有大量注释。

　　使用Suricata执行入侵检测（网络维护公司)

　　现在可以试着运行Suricata了。在启动它之前，还有一个步骤要完成。

　　如果你使用pcap捕获模式，强烈建议关闭Suricata侦听的那个网卡上的任何数据包卸载功能(比如LRO/GRO)，因为那些功能可能会干扰数据包实时捕获。

　　接着讲解如何关闭网络接口eth0上的LRO/GRO：

　　Suricata支持多种运行模式。运行模式决定了不同的线程如何用于IDS。下面这个命令列出了所有可用的运行模式。

　　Suricata使用的默认运行模式是autofp(代表“自动流绑定负载均衡模式”)。在这种模式下，来自每一路流的数据包被分配给单一的检测线程。流被分配给了未处理数据包数量最少的线程。

　　最后，不妨启动Suricata，看看它的实际运行情况。

　　艾锑无限是中国领先IT外包服务商，专业为企业提供IT运维外包、电脑维护、网络维护、网络布线、办公设备维护、服务器维护、数据备份恢复、门禁监控、网站建设等多项IT服务外包,服务热线：400-650-7820 联系电话：010-62684652 咨询QQ1548853602 地址：北京市海淀区北京科技会展2号楼16D,用心服务每一天，为企业的发展提升更高的效率，创造更大的价值。

　　更多的IT外包信息尽在艾锑无限http://www.itbmw.com