Suricata란?

• Open Source기반의 IDS(Intrusion detection system)
• Snort의 업그레이드 버전
  • Snort와 가장 큰 차이점이라면, multi-core, mulit-threading 지원하는 것이 큰 차이
  • Snort rule과 완벽 호환
  • gpu 하드웨어 가속 지원
  • lua로 시그니처 작성 가능

<aside> 💡 Snort 와 Suricata의 차이점

</aside>

<aside> ➡️ (https://tacticalflex.zendesk.com/hc/en-us/articles/360010678893-Snort-vs-Suricata)

</aside>

Snort vs Suricata

Suricata 설치(Install Suricata)

• sudo apt-get install suricata

Suricata 실행(Start Suricata)

• suricata -s rule_set(사용자 지정 룰) -i NIC(네트워크 인터페이스)

  • ex) suricata -s test.rules -i eth0

  

• 로그 확인

  • tail -f /var/log/suricata/fast.log

  

Suricata Rule

• ex) alert tcp any any -> any any (msg:"kostat.go.kr access"; content:"GET /"; content:"Host: "; content:"kostat.go.kr"; sid:10001; rev:1;)

  • 첫번째(alert) : 알림 출력

  • 두번째(tcp) : Protocol

    

  • 세번째, 네번째(any any) → 다섯번째, 여섯번째(any any) : src ip 및 src port → dst ip 및 dst port

  • 일곱번째(msg) : alert 메세지 출력

  • content:"GET /"; content:"Host: "; content:"kostat.go.kr"; : Method 및 Headers(Host)

  • sid:10001 : 지정번호

  <aside> ➡️ https://suricata.readthedocs.io/en/suricata-6.0.0/rules/intro.html

  </aside>