Suricata — IDS/IPS/NSM-движок от OISF (Open Information Security Foundation). Инспектирует сетевой трафик на уровне пакетов, ищет сигнатуры атак, аномалии и вредоносные паттерны. При работе в режиме IPS блокирует подозрительный трафик через iptables или nfqueue.
Как работает
Suricata захватывает трафик через libpcap, AF_PACKET или PF_RING (для высоких нагрузок). Движок разбирает протоколы: HTTP, TLS, DNS, FTP, SMB, DCERPC, SMTP — и сопоставляет с правилами. Каждое правило описывает: протокол, порты, направление трафика и сигнатуру контента.
Пример правила: alert http any any -> $HOME_NET any (msg:"ET WEB_SERVER SQLi"; content:"UNION SELECT"; http.uri; sid:1000001;) — детектирует SQL-инъекцию в URI HTTP-запроса.
Suricata поддерживает многопоточность: на 8-ядерном сервере обрабатывает 10+ Гбит/с. Lua-скрипты расширяют логику обнаружения для сложных случаев.
История
OISF анонсировал Suricata в декабре 2009 года как замену Snort с нативной многопоточностью. Версия 1.0 вышла в июле 2010 года. Snort (1998) — предшественник, но однопоточный. К 2024 году Suricata 7.x поддерживает HTTP/3, QUIC и JA4 fingerprinting.
Режимы работы
- IDS — только обнаружение, запись в лог, без блокировки.
- IPS — обнаружение + блокировка через nfqueue/AF_PACKET.
- NSM (Network Security Monitor) — запись полного трафика для forensics.
- Offline — анализ pcap-файлов после инцидента.
Связь с хостингом
На выделенных серверах и шлюзах провайдеров Suricata ставится перед кластером для мониторинга подозрительного трафика. Imunify360 использует Suricata под капотом как один из движков защиты. Набор правил ET (Emerging Threats) обновляется ежедневно и содержит 30 000+ сигнатур угроз.
Ключевые отличия от похожих терминов
Snort — предшественник, однопоточный, старый код. Suricata — многопоточная, активно развивается. Zeek (Bro) — NSM без IPS-функционала, глубокий анализ протоколов. Wazuh — SIEM/HIDS для логов хоста, не сетевой трафик. Фаервол блокирует по портам; Suricata анализирует содержимое пакетов.
Режимы работы Suricata
IDS (Intrusion Detection System): пассивный анализ трафика через зеркальный порт, генерирует алерты. IPS (Intrusion Prevention System): inline-режим, блокирует вредоносный трафик. NSM (Network Security Monitoring): запись полного трафика для расследований. Suricata поддерживает все три режима.
Правила и сигнатуры
Emerging Threats Open (бесплатно): 30 000+ правил. Emerging Threats Pro (платно). Совместимость с правилами Snort. Обновление через suricata-update. Custom rules: alert http any any -> any any (msg:"Test"; content:"evil"; sid:1;). Lua-скрипты для сложной логики обнаружения.
Интеграция с ELK
Suricata → JSON-логи → ELK Stack (Logstash → Elasticsearch → Kibana). Kibana-дашборды для визуализации атак. Правила из Kibana запускают алерты. Интеграция с Wazuh (SIEM) для корреляции событий с системных логов.
Suricata и pcap анализ
Offline анализ захваченного трафика: suricata -r capture.pcap -l /var/log/suricata. Полезно для forensics после инцидента. Eve JSON формат: cat /var/log/suricata/eve.json | jq '.event_type'. Интеграция с MISP (Malware Information Sharing Platform) для обмена IoC.