问题配置 Suricata
Problems configuration Suricata
我有一台安装了 Suricata (169.69.1.11) 和特定规则的服务器:
drop ICMP any any -> 169.69.1.11 any (msg: "ping dropped";sid:10001;)
在我执行的其他虚拟机中:
ping 169.69.1.11 -c 5
所以在这一点上,一切都不好,因为 ping 到达了,并且在 fast.log 上没有注册任何东西,所以我在 Suricata 机器上执行
sudo suricata -i enp0s8
然后我又用同样的命令 ping 了一次(5 次 ping)
在我的另一台机器上,一切似乎都还好,他们似乎达到了 5 个 ping,但我查看了 Suricata /var/log/suricata/fast 上的日志。记录它删除了那条线
03/25/2022-11:11:05.231735 [wDrop] [**] [1:10001:0] ping dropped [**] [Classification: (null)] [Priority: 3] {ICMP} 169.69.1.10:8 -> 169.69.1.11:0
为什么 ping 成功了却没有被阻止?
为什么我 ping 了 5 次,但只记录了 1 次?
我的第一个问题是我没有 Suricata IPS,首先用
删除你的 iptables 规则
sudo iptables -F
sudo iptables -I INPUT -j NFQUEUE
sudo iptables -I OUTPUT -j NFQUEUE
sudo iptables -I FORWARD -j NFQUEUE
并使用 -D 执行 Suricata 以作为 bg
sudo Suricata -q 0 -D
我有一台安装了 Suricata (169.69.1.11) 和特定规则的服务器:
drop ICMP any any -> 169.69.1.11 any (msg: "ping dropped";sid:10001;)
在我执行的其他虚拟机中:
ping 169.69.1.11 -c 5
所以在这一点上,一切都不好,因为 ping 到达了,并且在 fast.log 上没有注册任何东西,所以我在 Suricata 机器上执行
sudo suricata -i enp0s8
然后我又用同样的命令 ping 了一次(5 次 ping) 在我的另一台机器上,一切似乎都还好,他们似乎达到了 5 个 ping,但我查看了 Suricata /var/log/suricata/fast 上的日志。记录它删除了那条线
03/25/2022-11:11:05.231735 [wDrop] [**] [1:10001:0] ping dropped [**] [Classification: (null)] [Priority: 3] {ICMP} 169.69.1.10:8 -> 169.69.1.11:0
为什么 ping 成功了却没有被阻止? 为什么我 ping 了 5 次,但只记录了 1 次?
我的第一个问题是我没有 Suricata IPS,首先用
删除你的 iptables 规则sudo iptables -F
sudo iptables -I INPUT -j NFQUEUE
sudo iptables -I OUTPUT -j NFQUEUE
sudo iptables -I FORWARD -j NFQUEUE
并使用 -D 执行 Suricata 以作为 bg
sudo Suricata -q 0 -D