Suricata ile Port Tarama Tespiti

Bu yazımızda daha önceden bir port taraması yapılan pcap dosyasındaki port taraması tespiti için suricatada kural yazacağız ve ardından kontrolümüzü sağlayacağız öncelikle ağ arayüzümüzü dinleme moduna alıyoruz.

Şimdi ise pcap dosyasını suricata ile açıyoruz ve gerekli olan komutumuz şu şekilde ; suricata –c /etc/suricata/suricata.yaml –r syn_scan.pcapng

Komutu çalıtırdık ama “signal received .Stopping engine” ile karşılaştık.Bunun çözümü ise tcprelay ile trafiği yönlendirerek çalıştırmalıyız. Kuralımızı oluşturalım ve ardından tcpreplay ile trafiği yönlendirelim. /etc/suricata/suricata.yaml dosyasından bulunan suricata konfigürasyon dosyasını açıyoruz ve çalışacak olan kuralın yolunu belirtiyoruz ardından bu dosyaya kuralımızı yazıyoruz.

Kuralımızı /var/lib/suricata/rules altındaki suricata.rules dosyasına ekleyeceğiz.Kuralımız şu şekilde olacak

alert tcp any any -> any any (msg: “Muhtemel SYN/TCP Port Taraması”;sid:10000001; rev:1; )

Not:Kural yazımı için bir önceki yazıdan bakabiliriz.

Şimdi tcpreplay -i eth0 synscan.pcapng komutu ile trafiği yönledirmeyi başlatıyoruz ve suricatayı yeniden başlatıyoruz.Suricatayı başlatırken komutuzu değiştiyoruz Şu komutu giriyoruz #Suricata -c /etc/suricata/suricata.yaml -i eth0

Çıktıyı görmek için /var/log/suricata/fast.log ve /var/log/suricata/eve.json dosyalarından görüntüleyebiliriz biz şimdi fast.log dan görüntüleme sağlayacağız bunun için tail -f /var/log/suricata/fast.log komutunu girelim.

Yeni bir kural eklediğimiz takdirde , kuralların işlenebilir hale gelmesi için aşağıdaki komutu bir yanda suricata açıkken kullanabiliriz.

# suricatasc -c ruleset-reload-nonblocking

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir