LINUX.ORG.RU

Suricata IDS и конструирование pcap файлов.

 


1

1

Если в /var/log/suricata/eve.json посмотреть значения packet и payload при включенных в /etc/suricata/suricata.yaml можно заметить, что packet будет отличаться по части IPv4 Total Length и TCP Flag от такого, что было перехвачено wireshark или tcpdump. В результате если потом собрать pcap файл из того что есть в eve.json: packet + payload ничего хорошего не получится, wireshark будет ругаться.

      types:
        - alert:
            payload: yes           # enable dumping payload in Base64
            payload-printable: yes # enable dumping payload in printable (lossy) format
            packet: yes            # enable dumping of packet (without stream segments)
            http: yes              # enable dumping of http fields
            tls: yes               # enable dumping of tls fields
            ssh: yes               # enable dumping of ssh fields
            smtp: yes              # enable dumping of smtp fields

Я знаю, что Suricata может быть настроена на запись в pcap файлы сразу, но мне интересно есть ли способ побороть эту особенность поведения Suricata при записи именно, в eve.json. И вообще интересен любой опыт и ваши мысли, вдруг кто то сталкивался с подобным.

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.