0x01前言

接上片文“如何搭建屬于自己內(nèi)網(wǎng)全流量的IDS/IPS”上一篇文章介紹了如何利用suricata+arkime做內(nèi)網(wǎng)全流量系統(tǒng)，目前只做到了記錄suricata告警日志和arkime流量分析，只實(shí)現(xiàn)了ids入侵檢測系統(tǒng)的功能，但是要作為IPS 入侵防御系統(tǒng)來用的話暫時還不能實(shí)現(xiàn)攔截的功能，這章介紹怎么作為IPS來使用實(shí)現(xiàn)阻斷攔截的功能

0x02 部署位置

家庭網(wǎng)絡(luò)中，一般只有一個路由器，剩下的就是電腦等設(shè)備，使用網(wǎng)線連接路由器和主機(jī)終端，IPS部署位置一般選擇串聯(lián)，這樣不用改變原來的網(wǎng)絡(luò)結(jié)構(gòu)，如下圖

大概就是這樣串進(jìn)去就行了，注：這里是選擇的IPS模式，所以需要兩個網(wǎng)卡，一進(jìn)一出，Suricata將負(fù)責(zé)將數(shù)據(jù)包從一個接口復(fù)制到另一個接口。復(fù)制過程中過一遍內(nèi)置規(guī)則集，發(fā)現(xiàn)命中則攔截阻斷此流量

0x03 實(shí)驗(yàn)環(huán)境

注：surucata必須要有兩網(wǎng)卡，一進(jìn)一出，生產(chǎn)環(huán)境根據(jù)自己網(wǎng)絡(luò)配置好，串進(jìn)去就行，不然很容易網(wǎng)絡(luò)風(fēng)暴。。。。

先將vmnet4的dhcp服務(wù)禁用，

攻擊機(jī)和靶機(jī)的ip，可以看到攻擊者和靶機(jī)并不是一個網(wǎng)段，但是當(dāng)suricata啟動之后，自身所帶的兩個網(wǎng)卡就會相互復(fù)制流量，這時候suricata的作用就會相當(dāng)于一根網(wǎng)線，將靶機(jī)攻擊機(jī)和靶機(jī)連接起來，攻擊者就可以訪問靶機(jī)了

關(guān)于suricataips的配置可參考官網(wǎng)

隨便寫條測試規(guī)則。因?yàn)楝F(xiàn)在是ips，所以動作要換成drop；alert 記錄所有匹配的規(guī)則并記錄與匹配規(guī)則相關(guān)的數(shù)據(jù)包； drop ips模式使用，如果匹配到之后則立即阻斷數(shù)據(jù)包不會發(fā)送任何信息

未啟動suricata之前，攻擊機(jī)不能訪問靶機(jī)

啟動suricata之后，靶機(jī)ip會發(fā)生變化，變成 和攻擊者同網(wǎng)段的，隨后攻擊者可以訪問靶機(jī)

根目錄放置兩個文件

攻擊者訪問baidu.php文件被攔截，ips規(guī)則生效

審核編輯：劉清