Suricata 规则编写1-规则的结构[转]
转自:http://xiaix.me/suricata-gui-ze-bian-xie-1-gui-ze-de-jie-gou/
1.简介
Suricata 是一款高性能的网络IDS、IPS和网络安全监控引擎。
最著名的 IDS/IPS 是 Snort,那为什么我们还要用 Suricata 呢?
最主要的原因是 Snort 只支持单线程,而 Suricata 支持多线程,另外 Suricata 内置支持 IPv6,并且支持现有的 Snort 规则和签名。
2. Suricata 规则
一条 Suricata 规则由三个部分组成:
- 操作(Action)
- 头部(Header)
- 规则(Rule options)
image.png
2.1 操作(Action)
Action 顾名思义就是在匹配规则到时进行什么样的操作,其总共有四种可选的值,分别为:Pass,Drop,Reject 和 Alert。
Pass
如果匹配到了规则,则 Suricata 停止扫描数据包并跳过当前所有规则(指的是当前规则包内的所有规则)。
Drop
这个值只能在 IPS/inline 模式下才可使用。
如果匹配到了规则,则 Suricata 也会立马停止扫描数据包并将当前数据包丢弃。
Reject
不同于 Drop 直接丢弃数据包,Reject 在匹配到规则时会主动进行拒绝数据包。当数据包为 TCP 时,会返回一个 RST 数据包重置连接;为其他数据包时,则会返回一个 ICMP-error 数据包。
在拒绝了连接后 Suricata 也会产生相应的警报。
这个我理解也是在IPS下才有。
Alert
当匹配到规则时,Suricata 不会对数据包进行任何操作,会像对正常数据包一样进行放行,除了会记录一条只有管理员能够看到的警报。
以上四种操作也是有优先级的,默认的优先级为:Pass > Drop > Reject > Alert。也就是规则在匹配时会优先考虑包含 Pass 的规则,其次才是 Drop,再然后是 Reject,最后在考虑包含 Alert 的规则。
2.2 头部
头部中包含如下几项:
- 协议(Protocol)
- 源/目的地址(Source and destination)
- 端口号(Ports)
- 流向(Direction)
协议(Protocol)
这个字段用来告诉 Suricata 当前规则所包含的协议。其取值可以为:tcp,udp,icmp,ip,http,ftp,tls(包含ssl),smb,dns等等。如下图示例中红色标识所示:
头部中包含如下几项:
image.png
源/目的地址(Source and destination)
源/目的地址可以设置为 IP 地址或者在配置文件(Suricata.yaml)里定义的变量,如:$HOME_NET和$EXTERNAL_NET。具体可以设置如下形式:
! 1.1.1.1 (除了 1.1.1.1 以外的所有 IP)
![1.1.1.1, 1.1.1.2] (除了 1.1.1.1 和 1.1.1.2 以外的所有 IP)
$HOME_NET (配置文件中设置的 HOME_NET)
[$EXTERNAL_NET, !$HOME_NET] (包含 EXTERNAL_NET 但不含 HOME_NET)
[10.0.0.0/24, !10.0.0.5] (10.0.0.0/24 除了 10.0.0.5)
[…..,[....]]
[…. ,![.....]]
注意:如果配置文件中 $HOME_NET 设置为 any,而 $EXTERNAL_NET 为 !$HOME_NET,那么这里就不能在使用! $EXTERNAL_NET 了,毕竟没有 not any 不是吗。
image.png
端口号(Ports)
不同的协议使用不同的端口号,例如 HTTP 使用 80 端口,而 HTTPS 则使用 443。通常情况下端口号会设置为 any,这样会影响所有的协议。如果有特殊需求可以按照如下方式单独设置端口号:
! 排除
: 范围
[] 包含
, 分隔符
具体示例如下:
[80, 81, 82] (端口号 80, 81 和 82)
[80: 82] (范围 80 到 82)
[1024: ] (从 1024 起到最大端口号)
!80 (除了 80 以外的所有端口号)
[80:100,!99] (从 80 到 100 除了 99 的端口)
[1:80,![2,4]]
[….[.....]]
image.png
流向(Direction)
流向告诉规则匹配哪些流量数据,是匹配从外部网络进来的,还是匹配从内部网络出去的,亦或者两种同时匹配。其中,每条规则都必须有一个向右的箭头如下所示:
source -> destination
source <> destination (双向匹配)
alert tcp 1.2.3.4 1024 - > 5.6.7.8 80
本例中,规则只会匹配从 1.2.3.4:1024 流向 5.6.7.8:80 的数据,而对于相反方向的流量则会直接放行不进行匹配。
image.png
2.3 规则
规则的每一条都遵循固定的格式:
name: settings;
注意:Suricata 是依据 ; 来解析规则的,所以除了每条关键字末尾处千万别出现;,不然解析会报错,如果正则匹配中要用到记得前面加上转义符。
每条规则也包含如下设置:
- 元信息(meta-information)
- 头部(headers)
- 有效载荷(payloads)
- 流(flows)
受篇幅所知,本问只介绍元信息部分,余下内容后续文章继续讲解。
元信息(meta-information)
msg (message)
msg 关键字就是当本条规则匹配中时,显示在日志中的提示内容,格式如下:
msg: “..........”;
需要特别注意的是,msg 关键字必须为每条规则的第一个关键字,也就是说必须出现在规则的最前面。
如下示例所示:
msg:"ATTACK-RESPONSES 403 Forbidden";
msg:"ET EXPLOIT SMB-DS DCERPC PnP bind attempt";
image
Sid (signature id)
表示sid 关键字识每条规则的 id,必须位数字且唯一。示例如下:
sid:2008124;
image
Rev (Revision)
rev 关键字标识修订版本号,每次修改后加一。
需要注意的是,rev 关键字一般要紧随在 sid 关键字之后,且 sid 和 rev 一般要为规则最后的关键字,也就是出现在规则最后的位置,当然如果还有 gid 关键字的话,gid 会在最后面。示例如下:
image
Gid (group id)
gid 关键字表示每条规则分组的 id,功能类似与 sid,不过因为是分组的 id,所以值可以重复,另外就是如果不指定的话,默认所有规则的 gid 值都为 1。其实这个值也只有在日志中才可能出现,如下所示:
image
Classtype
classtype 关键字表示对当前规则的分类的情况,这个关键字一般是在
classification.conf
文件中指定由名称,描述和优先级组成,它可以用来显示当前规则只是一条信息或是遭受了黑客的攻击。classtype 定义示例如下:
config classification: web-application-attack,Web Application Attack,1
config classification: not-suspicious,Not Suspicious Traffic,3
需要注意的是,classtype 关键字需要出现在 sid 和 rev 关键字之前,其他关键字之后。示例如下:
image
Reference
reference 字段表示当前规则相关信息所在 url,可以同时指定多条 url,一般规则如下:
reference: url, www.info.nl
但也可以使用其他类型的引用,具体可选类型如下:
bugtraq http://www.securityfocus.com/bid
cve http://cve.mitre.org/cgi-bin/cvename.cgi?name=
nessus http://cgi.nessus.org/plugins/dump.php3?id=
mcafee http://vil.nai.com/vil/dispVirus.asp?virus_k=
url http://
以 CVE 为例,只需要填入 CVE 号
CVE-2016-6210
会自动补全为
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6210
的网址。多条引用示例如下:
image
Priority
priority 关键字用于指定当前规则的优先级,取值范围从 1 到 255,取值越小优先级越大,但常用值为 1-4。
这个关键字通常我都不会添加,因为我们知道之前的 classtype 关键字已经包含有优先级了,规则会自动继承这个优先级,但如果有其他需求可以添加这个关键字覆盖 classtype 关键字的优先级。格式如下:
priority:1;
metadata
这个关键字 Suricata 会直接忽略,那为什么还会存在呢?都是为了兼容 snort 规则。
target
目标关键字允许规则编写者指定警报的哪一侧是攻击的目标。 如果指定,则提高警报事件以包含有关源和目标的信息。
如果值是src_ip,则生成的事件(JSON中的src_ip字段)中的源IP是攻击的目标。 如果target设置为dest_ip,则目标是生成的事件中的目标IP。
参考:
