有没有人有使用Suricata作为IPS的经验?我在Debian上,我希望能够手动阻止和解锁特定的IP地址(iptables)。我没有使用Suricata,因为我目前正在运行Snort作为IDS和监护人作为我的IPS。我已经对Suricata进行了一些研究,据我所知,可以手动将规则添加到Suricata的规则文件中,该规则文件将阻止给定的IP地址。当Suricata作为守护进程运行时,重启守护进程时是否会像使用守护进程一样擦除阻止规则? 提前感谢任何提示。
答案 0 :(得分:0)
如果在netfilter队列模式下运行Suricata,您仍然可以使用iptables进行阻止。例如。您的iptables设置可能如下所示:
iptables -N BLOCKLIST
iptables -A FORWARD -j BLOCKLIST
iptables -A FORWARD -j NFQUEUE
然后用-q:
启动suricatasuricata -q 0
要将ip添加到阻止列表中
iptables -A BLOCKLIST -s 1.2.3.4 -j DROP
删除
iptables -D BLOCKLIST -s 1.2.3.4 -j DROP
因为-j NFQUEUE规则是在-j BLOCKLIST规则之后计算的,所以在将流量发送到Suricata之前应用阻止列表。
也可以在Suricata本身进行阻止。添加如下规则:
drop ip 1.2.3.4 any -> any any (msg:"1.2.3.4 dropped"; sid:1;)
然后重启Suricata。或者,您可以在YAML中启用“规则重新加载”(如果您在3.0上始终启用它)并发送USR2信号。
On Suricata 2.x在你的suricata.yaml中取消注释'rule-reload':
detect-engine:
- rule-reload: true