🎬 HoRain云小助手：个人主页

 🔥 个人专栏: 《Linux 系列教程》《c语言教程》

⛺️生活的理想，就是为了理想的生活!

---

⛳️ 推荐

前些天发现了一个超棒的服务器购买网站，性价比超高，大内存超划算！忍不住分享一下给大家。点击跳转到网站。

专栏介绍

专栏名称	专栏介绍
《C语言》	本专栏主要撰写C干货内容和编程技巧，让大家从底层了解C，把更多的知识由抽象到简单通俗易懂。
《网络协议》	本专栏主要是注重从底层来给大家一步步剖析网络协议的奥秘，一起解密网络协议在运行中协议的基本运行机制！
《docker容器精解篇》	全面深入解析 docker 容器，从基础到进阶，涵盖原理、操作、实践案例，助您精通 docker。
《linux系列》	本专栏主要撰写Linux干货内容，从基础到进阶，知识由抽象到简单通俗易懂，帮你从新手小白到扫地僧。
《python 系列》	本专栏着重撰写Python相关的干货内容与编程技巧，助力大家从底层去认识Python，将更多复杂的知识由抽象转化为简单易懂的内容。
《试题库》	本专栏主要是发布一些考试和练习题库（涵盖软考、HCIE、HRCE、CCNA等）

目录

⛳️ 推荐

专栏介绍

🛠️ Suricata环境搭建指南：从安装到验证

🔍 两种安装方法对比

📥 方法一：通过源代码编译安装（推荐追求最新版本的用户）

📦 方法二：通过PPA仓库安装（推荐新手和追求简便的用户）

⚙️ 基础配置

🧪 验证安装

💡 后续操作建议

---

Suricata 是一款高性能的开源网络入侵检测与防御系统（IDS/IPS），它能够实时监控网络流量，并根据规则集进行深度包检测，帮助您发现潜在威胁。下面我将为你详细介绍在 Ubuntu 环境下搭建 Suricata 的两种主要方法，以及后续的配置和验证步骤。

🛠️ Suricata环境搭建指南：从安装到验证

🔍 两种安装方法对比

特性	源代码编译安装	PPA仓库安装
版本新颖度	可获得最新版本	版本可能较旧
控制灵活性	完全自定义编译选项	标准化安装，选项有限
安装复杂度	较高，需手动处理依赖	简单快捷，自动解决依赖
系统集成	需手动配置服务管理	自动配置systemd服务
维护难度	需要手动更新	可通过包管理器更新

📥 方法一：通过源代码编译安装（推荐追求最新版本的用户）

这种方法让你可以安装最新的Suricata版本，并自定义编译选项。

1. 安装依赖包

   在开始之前，需要安装Suricata编译所需的各种开发库和工具：

   sudo apt-get update
   sudo apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential libpcap-dev \
                       libnet1-dev libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev \
                       libmagic-dev libcap-ng-dev libjansson-dev libnss3-dev libgeoip-dev \
                       liblua5.1-dev libhiredis-dev libevent-dev autoconf automake libtool \
                       cargo rustc

   这些依赖包提供了Suricata核心功能所需的各种支持，包括正则表达式、数据包捕获、YAML配置解析等。

2. 下载和解压Suricata源代码

   访问Suricata官方网站获取最新版本的下载链接，然后执行：

   wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
   tar -xvzf suricata-7.0.6.tar.gz
   cd suricata-7.0.6

   请将"7.0.6"替换为当前最新的版本号。

3. 编译和安装

   配置编译选项并完成安装：

   ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
   make
   sudo make install

   其中--enable-nfqueue参数启用Netfilter队列支持，对于IPS模式很重要。

📦 方法二：通过PPA仓库安装（推荐新手和追求简便的用户）

如果你希望快速安装并享受自动更新便利，可以使用PPA方式：

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata -y

这种方法会自动创建systemd服务，简化了服务管理。

⚙️ 基础配置

安装完成后，需要根据你的网络环境配置Suricata。

1. 修改主配置文件

   Suricata的主要配置文件位于/etc/suricata/suricata.yaml。你需要编辑以下几个关键部分：

   • 定义网络范围：设置HOME_NET为你需要保护的网络段

   HOME_NET: "[192.168.1.0/24]"
   EXTERNAL_NET: "!$HOME_NET"

   • 配置监控接口：指定Suricata监听的网络接口

   af-packet:
     - interface: eth0

   你可以使用ip a命令查看你的网络接口名称。

2. 更新规则集

   Suricata依赖规则集来识别恶意流量。使用内置工具获取新兴威胁（Emerging Threats）规则：

   sudo suricata-update -o /etc/suricata/rules

   这个命令会下载并启用数千条检测规则。

🧪 验证安装

确保Suricata正确安装和配置：

1. 测试配置文件

   sudo suricata -T -c /etc/suricata/suricata.yaml -v

   测试应该以"提供的配置已成功加载"结束。

2. 启动Suricata服务

   如果是PPA安装，使用systemd管理服务：

   sudo systemctl enable suricata
   sudo systemctl start suricata
   sudo systemctl status suricata

3. 功能测试

   做一个简单测试来验证检测能力：

   curl http://testmynids.org/uid/index.html

   然后检查日志是否记录了此事件：

   tail -f /var/log/suricata/fast.log

   你应该能看到类似以下的警报：

   GPL ATTACK_RESPONSE id check returned root [Classification: Potentially Bad Traffic] [Priority: 2]

   这表明Suricata正在正常工作。

💡 后续操作建议

完成基础安装和验证后，你可以考虑：

• 探索操作模式：Suricata不仅可以作为IDS（入侵检测系统），还可以配置为IPS（入侵防御系统），实时阻止恶意流量。

• 规则管理：使用suricata-update工具定期更新规则，也可以根据需求启用或禁用特定规则集。

• 日志分析：Suricata生成丰富的日志数据，可以集成ELK Stack或Wazuh等平台进行深入分析。

希望这份指南能帮助你顺利搭建Suricata环境！如果你在具体步骤中遇到问题，或者想了解特定功能的配置细节，欢迎随时追问。

❤️❤️❤️本人水平有限，如有纰漏，欢迎各位大佬评论批评指正！😄😄😄

💘💘💘如果觉得这篇文对你有帮助的话，也请给个点赞、收藏下吧，非常感谢!👍 👍 👍

🔥🔥🔥Stay Hungry Stay Foolish 道阻且长,行则将至,让我们一起加油吧！🌙🌙🌙