Suricata 规则编写1-规则的结构[转]

转自:http://xiaix.me/suricata-gui-ze-bian-xie-1-gui-ze-de-jie-gou/

1.简介

Suricata 是一款高性能的网络IDS、IPS和网络安全监控引擎。
最著名的 IDS/IPS 是 Snort,那为什么我们还要用 Suricata 呢?
最主要的原因是 Snort 只支持单线程,而 Suricata 支持多线程,另外 Suricata 内置支持 IPv6,并且支持现有的 Snort 规则和签名。

2. Suricata 规则

一条 Suricata 规则由三个部分组成:

  • 操作(Action)
  • 头部(Header)
  • 规则(Rule options)
image.png

2.1 操作(Action)

Action 顾名思义就是在匹配规则到时进行什么样的操作,其总共有四种可选的值,分别为:Pass,Drop,Reject 和 Alert。

Pass

如果匹配到了规则,则 Suricata 停止扫描数据包并跳过当前所有规则(指的是当前规则包内的所有规则)。

Drop

这个值只能在 IPS/inline 模式下才可使用。
如果匹配到了规则,则 Suricata 也会立马停止扫描数据包并将当前数据包丢弃。

Reject
不同于 Drop 直接丢弃数据包,Reject 在匹配到规则时会主动进行拒绝数据包。当数据包为 TCP 时,会返回一个 RST 数据包重置连接;为其他数据包时,则会返回一个 ICMP-error 数据包。
在拒绝了连接后 Suricata 也会产生相应的警报。
这个我理解也是在IPS下才有。

Alert

当匹配到规则时,Suricata 不会对数据包进行任何操作,会像对正常数据包一样进行放行,除了会记录一条只有管理员能够看到的警报。

以上四种操作也是有优先级的,默认的优先级为:Pass > Drop > Reject > Alert。也就是规则在匹配时会优先考虑包含 Pass 的规则,其次才是 Drop,再然后是 Reject,最后在考虑包含 Alert 的规则。

2.2 头部

头部中包含如下几项:

  • 协议(Protocol)
  • 源/目的地址(Source and destination)
  • 端口号(Ports)
  • 流向(Direction)

协议(Protocol)
这个字段用来告诉 Suricata 当前规则所包含的协议。其取值可以为:tcp,udp,icmp,ip,http,ftp,tls(包含ssl),smb,dns等等。如下图示例中红色标识所示:
头部中包含如下几项:

image.png

源/目的地址(Source and destination)

源/目的地址可以设置为 IP 地址或者在配置文件(Suricata.yaml)里定义的变量,如:$HOME_NET和$EXTERNAL_NET。具体可以设置如下形式:

! 1.1.1.1 (除了 1.1.1.1 以外的所有 IP)
![1.1.1.1, 1.1.1.2] (除了 1.1.1.1 和 1.1.1.2 以外的所有 IP)
$HOME_NET (配置文件中设置的 HOME_NET)
[$EXTERNAL_NET, !$HOME_NET] (包含 EXTERNAL_NET 但不含 HOME_NET)
[10.0.0.0/24, !10.0.0.5] (10.0.0.0/24 除了 10.0.0.5)
[…..,[....]]
[…. ,![.....]]

注意:如果配置文件中 $HOME_NET 设置为 any,而 $EXTERNAL_NET 为 !$HOME_NET,那么这里就不能在使用! $EXTERNAL_NET 了,毕竟没有 not any 不是吗。


image.png

端口号(Ports)

不同的协议使用不同的端口号,例如 HTTP 使用 80 端口,而 HTTPS 则使用 443。通常情况下端口号会设置为 any,这样会影响所有的协议。如果有特殊需求可以按照如下方式单独设置端口号:

! 排除
: 范围
[] 包含
, 分隔符

具体示例如下:

[80, 81, 82] (端口号 80, 81 和 82)
[80: 82] (范围 80 到 82)
[1024: ] (从 1024 起到最大端口号)
!80 (除了 80 以外的所有端口号)
[80:100,!99] (从 80 到 100 除了 99 的端口)
[1:80,![2,4]]
[….[.....]]


image.png

流向(Direction)
流向告诉规则匹配哪些流量数据,是匹配从外部网络进来的,还是匹配从内部网络出去的,亦或者两种同时匹配。其中,每条规则都必须有一个向右的箭头如下所示:

source -> destination
source <> destination (双向匹配)

alert tcp 1.2.3.4 1024 - > 5.6.7.8 80
本例中,规则只会匹配从 1.2.3.4:1024 流向 5.6.7.8:80 的数据,而对于相反方向的流量则会直接放行不进行匹配。

image.png

2.3 规则

规则的每一条都遵循固定的格式:
name: settings;

注意:Suricata 是依据 ; 来解析规则的,所以除了每条关键字末尾处千万别出现;,不然解析会报错,如果正则匹配中要用到记得前面加上转义符。

每条规则也包含如下设置:

  • 元信息(meta-information)
  • 头部(headers)
  • 有效载荷(payloads)
  • 流(flows)
    受篇幅所知,本问只介绍元信息部分,余下内容后续文章继续讲解。

元信息(meta-information)

msg (message)

msg 关键字就是当本条规则匹配中时,显示在日志中的提示内容,格式如下:

msg: “..........”;  

需要特别注意的是,msg 关键字必须为每条规则的第一个关键字,也就是说必须出现在规则的最前面。

如下示例所示:

msg:"ATTACK-RESPONSES 403 Forbidden";  
msg:"ET EXPLOIT SMB-DS DCERPC PnP bind attempt";  

Sid (signature id)

表示sid 关键字识每条规则的 id,必须位数字且唯一。示例如下:

sid:2008124;  

Rev (Revision)
rev 关键字标识修订版本号,每次修改后加一。
需要注意的是,rev 关键字一般要紧随在 sid 关键字之后,且 sid 和 rev 一般要为规则最后的关键字,也就是出现在规则最后的位置,当然如果还有 gid 关键字的话,gid 会在最后面。示例如下:

Gid (group id)

gid 关键字表示每条规则分组的 id,功能类似与 sid,不过因为是分组的 id,所以值可以重复,另外就是如果不指定的话,默认所有规则的 gid 值都为 1。其实这个值也只有在日志中才可能出现,如下所示:

Classtype

classtype 关键字表示对当前规则的分类的情况,这个关键字一般是在

classification.conf

文件中指定由名称,描述和优先级组成,它可以用来显示当前规则只是一条信息或是遭受了黑客的攻击。classtype 定义示例如下:

config classification: web-application-attack,Web Application Attack,1  
config classification: not-suspicious,Not Suspicious Traffic,3  

需要注意的是,classtype 关键字需要出现在 sid 和 rev 关键字之前,其他关键字之后。示例如下:


Reference

reference 字段表示当前规则相关信息所在 url,可以同时指定多条 url,一般规则如下:

reference: url, www.info.nl  

但也可以使用其他类型的引用,具体可选类型如下:

bugtraq            http://www.securityfocus.com/bid  
cve                http://cve.mitre.org/cgi-bin/cvename.cgi?name=  
nessus             http://cgi.nessus.org/plugins/dump.php3?id=  
mcafee             http://vil.nai.com/vil/dispVirus.asp?virus_k=  
url                http://  

以 CVE 为例,只需要填入 CVE 号

CVE-2016-6210

会自动补全为

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6210

的网址。多条引用示例如下:


Priority

priority 关键字用于指定当前规则的优先级,取值范围从 1 到 255,取值越小优先级越大,但常用值为 1-4。

这个关键字通常我都不会添加,因为我们知道之前的 classtype 关键字已经包含有优先级了,规则会自动继承这个优先级,但如果有其他需求可以添加这个关键字覆盖 classtype 关键字的优先级。格式如下:

priority:1;
metadata

这个关键字 Suricata 会直接忽略,那为什么还会存在呢?都是为了兼容 snort 规则。

target
目标关键字允许规则编写者指定警报的哪一侧是攻击的目标。 如果指定,则提高警报事件以包含有关源和目标的信息。

如果值是src_ip,则生成的事件(JSON中的src_ip字段)中的源IP是攻击的目标。 如果target设置为dest_ip,则目标是生成的事件中的目标IP。
参考:

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,686评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,668评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,160评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,736评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,847评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,043评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,129评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,872评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,318评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,645评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,777评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,861评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,589评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,687评论 2 351

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,637评论 18 139
  • 名词延伸 通俗的说,域名就相当于一个家庭的门牌号码,别人通过这个号码可以很容易的找到你。如果把IP地址比作一间房子...
    杨大虾阅读 20,592评论 2 57
  • 国家电网公司企业标准(Q/GDW)- 面向对象的用电信息数据交换协议 - 报批稿:20170802 前言: 排版 ...
    庭说阅读 10,934评论 6 13
  • Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源...
  • 孩子到了一定年龄,就必须离开爸爸妈妈,去上幼儿园。当父母的都会有这样的想法,觉得孩子上学以后,自己可以有更多的休息...
    正好学拼读阅读 1,050评论 0 2