Suricata’da Port Tarama Tespiti İçin Kural Yazmak

kaleileriteknoloji
3 min readAug 4, 2021

--

Bu yazımızda Suricata’da port tarama tespitine yönelik kuralların yazılmasını ele alacağız.

Suricata’da kaydedilmiş bir pcap kaydını analiz etmek için aşağıdaki komut kullanılmalıdır:

#suricata –c /etc/suricata/suricata.yaml –r pcap_dosyası

Örnek olarak wireshark ile Nmap SYN taraması analizinde kaydetmiş olduğumuz trafiği suricatada analiz etmek için aşağıdaki komutu kullanabiliriz:

#suricata –c /etc/suricata/suricata.yaml –r syn_scan.pcapng

Eğer “Signal received. Stopping engine.” hatası alındıysa tcpreplay ile trafik yönlendirilerek suricata çalıştırılmalıdır.

/etc/suricata/suricata.yaml dosyasının 1862 satırına rule-files altına local.rules eklenmiş olup local.rules dosyasına biz kendi kurallarımızı yazacağız.

SYN ve TCP taramaları çok fazla false pozitiflerin oluşmasını sağlayacaktır. Buradan IP ve port gönderilen bütün paketlerde kural tetiklenecektir.

SYN taraması ve TCP taraması için aşağıdaki kural kullanılabilir:

alert tcp any any -> any any (msg: “Muhtemel SYN/TCP Port Taraması”;sid:10000001; rev:1; )

Tcpreplay’de trafiği yeniden oynatmak için aşağıdaki komut kullanılabilir:

#tcpreplay –i eth1 syn_scan.pcapng

Ayrı bir sekmede ise suricata’yı aşağıdaki şekilde çalıştırabiliriz:

#suricata –c /etc/suricata/suricata.yaml –i eth1

Sonucu /var/log/suricata/fast.log veya /var/log/suricata/eve.json’dan inceleyebiliriz. Bunun için aşağıdaki komut kullanılabilir:

#tail –f /var/log/suricata/fast.log

XMAS taraması için aşağıdaki kural kullanılabilir:

alert tcp any any -> any any (msg:”Muhtemel XMAS Port Taraması”; flags:FPU; sid:1000002; rev:1; )

FIN taraması için aşağıdaki kural kullanılabilir:

alert tcp any any -> any any (msg:”Muhtemel FIN taraması”; flags:F; sid: 1000003; rev:1;)

UDP taraması için aşağıdaki kural kullanılabilir:

alert udp any any -> any any ( msg:”Muhtemel UDP Taraması”; sid: 1000004; rev:1; )

local.rules dosyasına kuralları yazdıktan sonra ,kuralların işletilebilir hale gelmesini sağlamak için aşağıdaki komutu kullanabiliriz:

# suricatasc -c ruleset-reload-nonblocking

Nmap SYN Taraması trafik analizi yazımıza https://kaleileriteknoloji.medium.com/nmap-syn-tarama-trafik-analizi-667cdfb19a8 linki aracılığıyla ulaşabilirsiniz.

Nmap TCP Taraması trafik analizi yazımıza https://kaleileriteknoloji.medium.com/nmap-tcp-taramas%C4%B1-trafik-analizi-53569631e3ba linki aracılığıyla ulaşabilirsiniz.

Nmap XMAS Taraması trafik analizi yazımıza https://kaleileriteknoloji.medium.com/nmap-xmas-taramas%C4%B1-trafik-analizi-bd84bacde078 linki aracılığıyla ulaşabilirsiniz.

--

--