Open in app

Sign in

Write

Sign in

Suricata ile Zafiyet Tarama Araçları İçin Kural Yazmak

kaleileriteknoloji
3 min readAug 6, 2021

Bu yazımızda Suricata’da zafiyet tarama araçlarının tespitine yönelik kuralların yazılmasını ele alacağız.

Suricata’da kaydedilmiş bir pcap kaydını analiz etmek için aşağıdaki komut kullanılmalıdır:

#suricata –c /etc/suricata/suricata.yaml –r pcap_dosyası

#suricata –c /etc/suricata/suricata.yaml –r nessus_ftp.pcapng

Eğer “Signal received. Stopping engine.” hatası alındıysa tcpreplay ile trafik yönlendirilerek suricata çalıştırılmalıdır.

/etc/suricata/suricata.yaml dosyasının 1862 satırına rule-files altına local.rules eklenmiş olup local.rules dosyasına biz kendi kurallarımızı yazacağız.

Şüpheli araç kullanımına dair kuralların tamamına aşağıdaki linkten ulaşabilirsiniz:

https://raw.githubusercontent.com/kaleakademi/suricata-kural/main/suricata-kural-1

Burada sadece sızma testi araçları ile ilgili kurallar local.rules dosyasına eklenmiştir.

Örnek kurallar:

alert tcp any any -> any any (msg:”Supheli Arac :dirb”; content:”dirb”; sid:1002400; )

alert tcp any any -> any any (msg:”Supheli Arac :python-requests”; content:”python-requests”; sid:1002401; )

alert tcp any any -> any any (msg:”Supheli Arac :DAV.pm/v0.49"; content:”DAV.pm/v0.49"; sid:1002402; )

alert tcp any any -> any any (msg:”Supheli Arac :sqlmap”; content:”sqlmap”; sid:1002403; )

alert tcp any any -> any any (msg:”Supheli Arac :cadaver”; content:”cadaver”; sid:1002404; )

alert tcp any any -> any any (msg:”Supheli Arac :Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”; content:”Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”; sid:1002405; )

alert tcp any any -> any any (msg:”Supheli Arac :DirBuster-1.0-RC1 (http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project)"; content:”DirBuster-1.0-RC1 (http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project)"; sid:1002406; )

alert tcp any any -> any any (msg:”Supheli Arac :DirBuster-1.0-RC1"; content:”DirBuster-1.0-RC1"; sid:1002407; )

alert tcp any any -> any any (msg:”Supheli Arac :Wfuzz”; content:”Wfuzz”; sid:1002408; )

alert tcp any any -> any any (msg:”Supheli Arac :Wfuzz/3.0.1"; content:”Wfuzz/3.0.1"; sid:1002409; )

alert tcp any any -> any any (msg:”Supheli Arac :Nessus”; content:”Nessus”; sid:1002466; )

alert tcp any any -> any any (msg:”Supheli Arac :Netsparker”; content:”Netsparker”; sid:1002467; )

alert tcp any any -> any any (msg:”Supheli Arac :netsparker”; content:”netsparker”; sid:1002468; )

alert tcp any any -> any any (msg:”Supheli Arac :Acunetix”; content:”Acunetix”; sid:1002469; )

alert tcp any any -> any any (msg:”Supheli Arac :acunetix”; content:”acunetix”; sid:1002470; )

alert tcp any any -> any any (msg:”Supheli Arac :nessus”; content:”nessus”; sid:1002471; )

Tcpreplay’de trafiği yeniden oynatmak için aşağıdaki komut kullanılabilir:

#tcpreplay –i eth1 nessus_ftp.pcapng

Ayrı bir sekmede ise suricata’yı aşağıdaki şekilde çalıştırabiliriz:

#suricata –c /etc/suricata/suricata.yaml –i eth1

Sonucu /var/log/suricata/fast.log veya /var/log/suricata/eve.json’dan inceleyebiliriz. Bunun için aşağıdaki komut kullanılabilir:

#tail –f /var/log/suricata/fast.log

local.rules dosyasına kuralları yazdıktan sonra ,kuralların işletilebilir hale gelmesini sağlamak için aşağıdaki komutu kullanabiliriz:

# suricatasc -c ruleset-reload-nonblocking

Content kısmına bakarak Suricata’da yapılan otomatik analizlerin manuel olarak nasıl yapıldığına dair yazılarımıza aşağıdaki linklerden ulaşabilirsiniz:

Bütün yazılarımız için https://kaleileriteknoloji.medium.com/siber-g%C3%BCvenlik-analistleri-i%C3%A7in-yaz%C4%B1lar%C4%B1m%C4%B1z-96ef44e80dbe linkini ziyaret edebilirsiniz.

Nikto Trafik Analizi — https://kaleileriteknoloji.medium.com/nikto-trafik-analizi-44de942e177b

Python Fuzzing Aracı Trafik Analizi — https://kaleileriteknoloji.medium.com/python-fuzzing-arac%C4%B1-trafik-analizi-fc63e1d1ee1d

Dirb Trafik Analizi — https://kaleileriteknoloji.medium.com/dirb-trafik-analizi-fe693c22b15c

Nmap ile http-title Kontrolünün Trafik Analizi — https://kaleileriteknoloji.medium.com/nmap-ile-http-title-kontrol%C3%BCn%C3%BCn-trafik-analizi-e60368302ac4

Nessus FTP Anonim Giriş Kontrolü Trafik Analizi — https://kaleileriteknoloji.medium.com/nessus-ftp-anonim-giri%C5%9F-kontrol%C3%BC-trafik-analizi-2f237e1d330c

Ngrok ile HTTP Tünelleme ve Wireshark ile Trafik Analizi — https://kaleileriteknoloji.medium.com/ngrok-ile-http-t%C3%BCnelleme-ve-wireshark-ile-trafik-analizi-80d476d0cac9

Ngrok ile Reverse Shell Alma ve Wireshark ile Trafik Analizi — https://kaleileriteknoloji.medium.com/ngrok-ile-reverse-shell-alma-ve-wireshark-ile-trafik-analizi-a4f2f818feb4

Not: Githubtaki kurallar python ile otomatik olarak oluşturulmuştur. Kuralların kullanılmadan önce tekrardan test edilmesi önerilmektedir.

Tehdit Avcılığı
Siber Güvenlik
Threat Hunting
Purple Team
Blue Team

--

--

kaleileriteknoloji

Written by kaleileriteknoloji

379 Followers

https://kaleileriteknoloji.com.tr/ https://kaleakademi.com/ https://github.com/kaleakademi

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams