如何利用IPS实现阻断拦截的功能呢

0x01 前言

接上片文“如何搭建属于自己内网全流量的IDS/IPS”上一篇文章介绍了如何利用suricata+arkime做内网全流量系统，目前只做到了记录suricata告警日志和arkime流量分析，只实现了ids入侵检测系统的功能，但是要作为IPS 入侵防御系统来用的话暂时还不能实现拦截的功能，这章介绍怎么作为IPS来使用实现阻断拦截的功能  

0x02 部署位置      

家庭网络中，一般只有一个路由器，剩下的就是电脑等设备，使用网线连接路由器和主机终端，IPS部署位置一般选择串联，这样不用改变原来的网络结构，如下图

大概就是这样串进去就行了，注：这里是选择的IPS模式，所以需要两个网卡，一进一出，Suricata将负责将数据包从一个接口复制到另一个接口。复制过程中过一遍内置规则集，发现命中则拦截阻断此流量

0x03 实验环境

注：surucata必须要有两网卡，一进一出，生产环境根据自己网络配置好，串进去就行，不然很容易网络风暴。。。。

先将vmnet4的dhcp服务禁用，

攻击机和靶机的ip，可以看到攻击者和靶机并不是一个网段，但是当suricata启动之后，自身所带的两个网卡就会相互复制流量，这时候suricata的作用就会相当于一根网线，将靶机攻击机和靶机连接起来，攻击者就可以访问靶机了

关于suricataips的配置可参考官网

随便写条测试规则。因为现在是ips，所以动作要换成drop； alert 记录所有匹配的规则并记录与匹配规则相关的数据包；  drop ips模式使用，如果匹配到之后则立即阻断数据包不会发送任何信息

未启动suricata之前，攻击机不能访问靶机

启动suricata之后，靶机ip会发生变化，变成 和攻击者同网段的，随后攻击者可以访问靶机

根目录放置两个文件

攻击者访问baidu.php文件被拦截，ips规则生效

审核编辑：刘清