bugxcve/suricata-ids-pcap-analysis

# suricata-ids-pcap-analysis 实现 Suricata IDS 以分析 PCAP 流量，通过自定义规则检测 HTTP GET 请求，并使用 eve.json 和 jq 执行日志分析。 ## 🎯 目标 使用 IDS 检测 HTTP 流量 编写自定义 Suricata 规则 分析日志中的告警 模拟真实的 SOC 工作流 ## 🛠️ 使用工具 Suricata (IDS/IPS) PCAP (Packet Capture) jq (JSON parser) Linux (Parrot OS) ## ⚙️ 自定义规则 alert http $HOME_NET any -> $EXTERNAL_NET any \ (msg:"GET on wire"; flow:established,to_server; content:"GET"; http_method; sid:12345; rev:3;) ## ▶️ 执行步骤 sudo suricata -r sample.pcap -S custom.rules -k none ## 🚨 输出与告警 📌 fast.log 显示告警摘要 示例："GET on wire" ## 📌 eve.json 详细的 JSON 日志 包含 IP、协议、HTTP 数据 ## 🔎 使用 jq 进行日志过滤 jq -c '[.timestamp,.flow_id,.alert.signature,.proto,.dest_ip]' eve.json ## 📸 屏幕截图 🔹 IDS 告警 (fast.log) 🔹 JSON 日志 (eve.json) 🔹 过滤输出 (jq) ## 📊 分析总结 检测到 HTTP GET 请求 流量从内部 IP 发往外部服务器 观察到重定向响应 (301) 识别出 User-Agent (curl) ## 🧠 核心收获 IDS 规则创建 (Suricata) PCAP 流量分析 日志分析 (fast.log & eve.json) 使用 jq 解析 JSON SOC 级别的告警调查

标签：alert, AMSI绕过, Beacon Object File, curl, eve.json, fast.log, http_method, HTTP请求检测, IPS, IP 地址批量处理, jq, JSON解析, Metaprompt, Parrot OS, PCAP分析, SOC工作流, Suricata, 威胁检测, 威胁检测与响应, 安全运营中心, 流量监控, 现代安全运营, 网络协议分析, 网络安全, 网络映射, 网络流量分析, 自定义规则, 隐私保护