流量偵測 - HackMD

--- tags: 流量監控作業程序 --- # 流量偵測此處利用流量偵測IDS工具-Suricata處裡過程主要分成4大部分 - 接收(Receive) - 解碼(Decode) - 檢測(Detect) - Flowworker moudle - Verdict module - RespondReject module - 輸出(Output) ## Receive module Suricata會接收監控之網卡的流量數據並封裝打包成封包後傳遞給Decode module ![Recive](https://i.imgur.com/8ZiTIOn.png) ## Decode module 將封包按照協議TCP/IP 四層模型(網路接口層、網路互連層、傳輸層、應用層)進行解碼，獲取協議跟負荷信息，解碼完成之後將封包傳給Flowworker module，此module主要是進行封包的解碼，不處理應用層 ![Decode](https://i.imgur.com/nrKolST.png) ## Flowworker module 對封包進行分配flow，Tcp會話管理，TCP重组及應用層數據解碼處裡，Detect規則檢測 ![Flowworker](https://i.imgur.com/Z60IcIN.png) ## Verdict module 根據Detect module檢測後的結果，對drop標記的包需要進行丟棄處理 ## RespondReject module 根據Detect module檢測後的結果，將需reject的封包像兩端發送reset包 ## Logs module 將處裡的結果記錄已符合的格式輸出在日誌中