网络入侵检测系统之Suricata(二)

最新推荐文章于 2026-04-24 14:10:45 发布
原创 最新推荐文章于 2026-04-24 14:10:45 发布 · 2k 阅读 · 7
标签
#NIDS #网络入侵检测 #网络安全 #信息安全 #suricta
Suricata采用多线程架构处理网络数据包,包括Receive、Decode、FlowWorker、Verdict等线程模块,实现高效的数据包捕获和分析。在运行模式中,workers模式因能平均分担负载而性能最优。数据包通过线程间的共享队列传递,行级锁用于保证多线程安全。autofp模式下,RX和W线程分别负责数据包的获取和处理。关键词涉及 Suricata、多线程、数据包处理、网络监控、性能优化。

Running mode

Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。

Suricata有多种运行模式,这些模式与抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模式的具体任务是由线程模块来完成。根据线程和线程模块的组织方式的不同,我们可以./suricata --list-runmodes查看运行模式,运行模式又细分为**“autofp”, “single”,“wokers”**

通常情况下workers性能最好,因为网卡驱动确保数据包平均分担到Suricata处理线程,每一个线程包含数据包处理完整的流水线;

  • Single mode
    在这里插入图片描述
    在这里插入图片描述

  • Workers
    在这里插入图片描述

    线程模块是对packet处理任务的抽象。线程模块大概有以下几种:

    1.Receive模块:
    收集网络数据包,封装成Packet对象后将其传递给Decode线程模块2.

    2.Decode模块:
    对Packet按协议4层模型(数据链路层、网络层、传输层、应用层)进行解码,
    获取协议和负荷信息,解码完成后将 Packet传递给FlowWorker线程模块。
    该模块主要是进行packet解码,不处理应用层。应用层由专门的应用层解码模块处理

    3.FlowWorker模块:
    对packets进行分配flow,Tcp会话管理,TCP重组,应用层数据解析处理,Detect规则检测

    4.Verdict模块:
    根据Detect模块检测的结果,对drop标记的包需要做丢弃处理

    5.Respon

最低0.47元/天 解锁文章
suricata匹配从入门到精通()----suricata安装配置及使用
热门推荐
leeezp的博客
08-15 35万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
Suricata】04-配置Suricata 7.0.3 基于DPDK模式运行
Simo2024的博客
05-13 2955
本文介绍了Suricata基于DPDK包捕获模式的安装,运行,难点主要在DPDK驱动的安装。
小白程序员必看!开源网络入侵检测系统全解析(Suricata、Snort、Zeek/Bro、Security Onion)
最新发布
Button12138的博客
04-24 113
很多小白程序员想转型网安,却不知道从哪款工具入手。本文聚焦 4 款最适合小白的开源网络入侵检测系统,详细讲解 Suricata、Snort、Zeek/Bro、Security Onion 的核心原理、实操步骤,对比工具差异,帮小白精准选型,零门槛上手,收藏这一篇,不用四处找教程,轻松开启网安入门之旅。
基于DPDK收包的suricata的安装和运行
每天分享一个编程小知识
03-30 2589
先用lshw -C network -businfo命令找到网卡的pcie地址,然后在/usr/local/etc/suricata/suricata.yaml文件中配置suricata DPDK收包,主要修改interface和copy-iface配置。suricata是一个基于规则的入侵检测和防御引擎,功能强大,但性能可能 差强人意,不过目前最新的7版本已经支持DPDK收包了,DPDK是Intel提供的高性能网络收发包开源库,可想而知,suricata支持DPDK收包会带来性能的极大提升。
Suricata入侵检测、预防和安全工具
无痕的博客
10-08 7243
入侵检测、预防和安全工具Suricata的安装、使用、自定义规则,包括几个示例说明
Suricata常用规则和入侵检测案例。
qq_39330735的博客
03-30 6716
1、Suricata是来来源于经典的NIDS系统,是一套基于网络流量的危险检测引擎,整合了IDS(Instrusion detection)、IPS(Instrusion Prevention)、NSM(Network Security Monitoring)和PCAP等功能2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段和wazuh比较类似3、、IPS功能。
网络入侵检测系统Suricata()
诗酒趁年华
12-25 4428
What is Suricata Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎 系统功能包括:实时入侵检测(IDS)、内联入侵预防(IPS)网络安全监控(NSM)和离线pcap处理 Suricata依靠强大的可扩展性的规则和特征语言过滤网络流量,并支持LUA脚本语言 输出文件格式为YAML或JSON,方便与其他数据库或安全数据分析平台集成 Suricata采用社区驱动开发,有利于版本的维护和新特性的迭代 Features IDS / IPS 完善的特征语言用于描述已知的威
Suricata 开源入侵检测系统安装与配置指南
gitblog_00913的博客
09-08 1269
Suricata 的 GitHub 仓库提供了其核心代码和相关资源。以下是对主要目录的简介: ``` . ├── acsite.m4 # Autoconf macro definitions ├── autogen.sh # 自动化生成配置文件脚本 ├── config # 配置相关的文件夹 │ └── ... ├── configur...
[特殊字符]️ Snort 与 Suricata 入侵检测系统详解
chinese_cabbage0的博客
07-16 1135
Suricata是由 OISF(开放信息安全基金会)开发的高性能多线程 IDS/IPS/NSM 系统,兼容 Snort 规则格式,并扩展了 HTTP/TLS/DNS 字段解析、文件提取、Lua 支持等功能,适用于高负载环境。项目SnortSuricata开发维护CiscoOISF(开放信息安全基金会)规则语法Snort 规则兼容 Snort,支持更多字段多线程❌(Snort 2 不支持)✅ 原生多线程TLS/HTTP/DNS 字段解析❌ 基础支持✅ 支持字段级协议解析(如。
构建基于Suricata+Splunk的IDS入侵检测系统
梦想专栏
03-22 2540
一.什么是IDS和IPS? IDS(Intrusion Detection Systems)入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并发出安全警报。 IPS(Intrusion Prevention System):入侵防御系统,除了具有IDS的监控检测功能之外,可以深度感知检测数据流量...
Suricata详解
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 6890
Suricata(Ubuntu)的安装以及使用过程
Suricata】02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 3468
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
suricata之linux编译
hezhanran的博客
10-26 3726
suricata编译
suricata安装与配置
simply
08-31 1707
1、概述suricata来源于经典的nids系统snort,是一套基于网络流量的威胁检测引擎,整合了ids,ips,network security monitoring(NSM)和PCAP processing等功能。2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时监测和预警,检测手段上也和Wazuh比较类似。3、IPS功能。
suricata中DPDK收发包线程模型和配置说明
每天分享一个编程小知识
05-11 1450
suricata中DPDK的收发包线程模型以及相关的配置。
Su+ELK实现网络监测(1)——Suricata安装与配置
ytraister的博客
04-11 2664
suricata安装配置文档
suricata -- 流管理系统
xuwaiwai的博客
02-16 6769
suricata中使用 流(Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了流管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中流转。suricata使用不同线程维护这三个队列。
Suricata+ELK集群监控办公网流量
武天旭的博客
03-25 7829
背景 需要利用Suricata作为IDS来监控办公网出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储与展示。 准备工作:在办公网出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
DPDK网卡多队列,suricata,小包问题
sun007700的专栏
02-14 1147
https://www.jianshu.com/p/c6686b022019
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

于顾而言

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值