(2)suricata Warning고침&명령어 옵션

    네트워크/suricata 2017. 7. 17. 15:01

    이번포스팅에서는 suricata 명령어에 대해서 알아보겠습니다

    명령어가 조금 많은편인데 그중에 제 주관적으로 많이 사용할것같은 명령어만 모아보았습니다.

    일단 모든 명령어는 밑의 링크로 들어가시면 있습니다

    http://suricata.readthedocs.io/en/latest/command-line-options.html


    명령어를 알아보기 전에 전 포스팅에 있었던 오류를 고쳐보겠습니다

    위 오류중 첫번째 

    No rule files match the pattern /etc/suricata/rules/tls-event.rules

    이 오류는 위 경로에 tls-event.rules 파일이 없기때문에 발생하는 오류입니다

    Suricata 설치중 경로에 설치가 잘안될경우 생길수 있습니다

    고치는 방법은 일단 처음에 suricata를 make한 디랙터리로 들어가셔서 rule디랙터리로 들어가보시면 위 파일과 파일명이 똑같은 파일이 존제할것인데 그 파일을 복사하여 위 경로로 붙여넣어 주시면 됩니다

    요렇게 붙여넣어주시고 다시 실행시켜 주시면

    요렇게 위험요소가 하나 사라진것을 볼수있습니다.

    다음 Warning은 번역하면 GRO 또는 LRO가 활성된 AF_PACKET을 사용하면 캡쳐에 문제가 생길수 있다고 오류가 나오는데

    저도 GRO와 LRO가 뭔지 몰라서 찾아보았습니다

    GRO는 Generic-Receive-Offload고 LRO는 Large-Receive-Offload 라고하는것 정도만 이번포스팅에서 알아두시면 될것같습니다.

    그리고 AF_PACKET은 Address Family Packet 이것도 이정도만 알아두시면 될듯합니다.

    찾아본것에 대해서는 나중에 따로 포스팅을 하도록 하겠습니다

    일단 고치는 방법은  아래처럼 명령어를 쳐주세요

    ethtool -k <NIC이름>

    쳐주시게 되면 아래처럼 뜰것입니다.

    위 오류의 뜻을 해석한것을 보면 'GRO 또는 LRO가 활성된 AF_PACKET을 사용하면 캡쳐에 문제가 생길수 있다' 이니까

    GRO와 LRO를 비활성화 시켜주면 됩니다.

    저와 같은 경우에는 GRO만 활성화 되어있으므로 GRO만 비활성화 시켜주겠습니다.

    명령어는 아래와 같습니다

    ethtool -K gro off

    만약 LRO일 경우 명령어는 위의 GRO 부분에 lro를 써주시면 됩니다

    꺼주시고 다시 명령어로 조회할 경우 위와같이 꺼져있는것을 확인할수있습니다.

    그후에 다시 Suricata를 실행시키면 아래와 같이 깔끔하게 실행되는걸 확인하실수 있습니다.

    다른오류도 있으면 댓글 달아주세요 저도 다른오류를 접해보면서 고쳐보고싶기에 부탁드립니다.



    그럼 본론으로 넘어가서 명령어 옵션를 알아보도록 하겠습니다

    옵션은 표로 정리해 보았습니다


     옵션

    설명 

     -h

    help와 같은 명령어, 옵션들을 출력해준다 

     -V

    suricata 버전 표시 

    -c <Path>

    configuration file 경로지정 

     -T

    test 모드로 suricata실행 

     -v

    모든과정을 더욱 자세하게 표시 

     -i <interface>

    패킷이 들어올 인터페이스 지정 

     -s <filename.rules>

     yaml에 지정되어 있지 않은 rule파일을 로드

     -S <filename.rules>

     yaml에 지정되어 있는 rule파일과는 상관없이 파일을 로드

     -l

    log dir 을 설정할수 있습니다 yaml에 default로 지정되어있는 경로가 있다면 무시하고 옵션에 적은 경로를 log dir로 인식 

     -D

    suricata를 데몬으로 실행시켜 백그라운드에서 실행 

     --user <user이름>

    user이름에 써져있는 사용자로 suricata 실행 

     --group <group이름>

     group이름에 써져있는 그룹으로 suricata 실행

     --disable-detection

     탐지모드 즉 ids 모드를 비활성화

    --init-errors-fatal 

     파일들을 로드하는중 오류가 발생하면 실패로 종료


    많이 쓸것같은 옵션만 정리해 보았습니다.

    위 홈페이지로 들어가면 더많은 옵션이 있습니다


    옵션 설명을 좀더 깊게하려고했는데 짧게 써지내요 혹시 궁금한점이나 수정할게있다면 댓글 남겨주십시요 달게 받겠습니다

    여튼 이번 포스팅은 여기서 줄이겠습니다


    감사합니다!!

    '네트워크 > suricata' 카테고리의 다른 글

    (1)centos-suricata 설치  (0) 2017.07.07
    IDS/IPS란?  (0) 2017.07.07
    suricata란?  (0) 2017.07.07
    '네트워크/suricata' 관련 글 more
    Posted by Ralreu

티스토리툴바