suricata新增Mysql告警规则处理

原创 已于 2025-07-18 14:38:07 修改 · 1.3k 阅读 · 24 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#mysql #sql #rust #网络协议
于 2025-07-17 21:00:00 首次发布

suricata新增Mysql告警规则处理

协议解析后续处理内容

经过Mysql协议解析处理流程 介绍,我们在suricata中,新增加了Mysql协议处理相关的内容;
Mysql协议处理后,有两种方式进行处理,
一是将协议解析的内容,进行结果输出;(该内容相对比较简单,在协议框架生成包含了相关处理内容)
二是,将解析的内容与检测规则结合一起进行告警检测
在这里插入图片描述

新增规则

假设,我们需要检测Mysql sql语句中的所有truncate 语句,并进行告警。则规则形如:

alert mysql any any -> any 3306 (msg:"test mysql detect";mysql.sql:truncate;sid:10001;rev:1;)

规则解析关键字新增

如果,新增了以上规则,通过suricata进行引擎分析

suricata -c suricata.yaml --engine-analysis

会提示如下错误:

E: detect-parse: unknown rule keyword 'mysql.sql'.
E: detect: error parsing signature "alert mysql any any -> any 3306 (msg:"test mysql detect";mysql.sql:truncate;sid:10001;rev:1;)"

首先将mysql.sql加入到引擎检测关键字列表中;
协议框架生成会生成detect-mysql-mysql.h及detect-mysql-mysql.c两个文件。
同时DetectMysqlmysqlRegister为注册关键字及检测函数的入口,
检测注册代码如下

void DetectMysqlmysqlRegister(void)
{
    sigmatch_table[DETECT_AL_MYSQL_MYSQL].name = "mysql.sql";
    sigmatch_table[DETECT_AL_MYSQL_MYSQL].desc =
            "Mysql content modifier to match on the mysql buffers";
    sigmatch_table[DETECT_AL_MYSQL_MYSQL].Setup = DetectMysqlmysqlSetup;
    sigmatch_table[DETECT_AL_MYSQL_MYSQL].Free = DetectMysqlmysqlFree;
    sigmatch_table[DETECT_AL_MYSQL_MYSQL].AppLayerTxMatch = DetectMysqlMatch;
#ifdef UNITTESTS
    sigmatch_table[DETECT_AL_MYSQL_MYSQL].RegisterTests = DetectMysqlmysqlRegisterTests;
#endif
    sigmatch_table[DETECT_AL_MYSQL_MYSQL].flags |= SIGMATCH_INFO_STICKY_BUFFER;

    /* register inspect engines */
    DetectAppLayerInspectEngineRegister2("mysql.sql", ALPROTO_MYSQL, SIG_FLAG_TOSERVER, 0,
             DetectEngineInspectGenericList, NULL);

    g_mysql_rust_id = DetectBufferTypeGetByName("mysql.sql");

    SCLogNotice("Mysql application layer detect registered.");
}

其中sigmatch_table,为注册各关键字的全局数组。
DETECT_AL_MYSQL_MYSQL为枚举值,在协议框架生成时自动生成在enum DetectKeywordId 中

enum DetectKeywordId {
    DETECT_SID,
    DETECT_PRIORITY,
    DETECT_REV,
    DETECT_CLASSTYPE,
	...,
	DETECT_TARGET,
    DETECT_AL_MYSQL_MYSQL,
	...
    DETECT_AL_TEMPLATE_BUFFER,
    DETECT_AL_DHCP_LEASETIME,
}

同时将DetectMysqlmysqlRegister的调用加入到SigTableSetup中

void SigTableSetup(void)
{
    memset(sigmatch_table, 0, sizeof(sigmatch_table));

    DetectSidRegister();
    DetectPriorityRegister();
    DetectPrefilterRegister();
    DetectRevRegister();
    DetectClasstypeRegister();
    DetectReferenceRegister();
    DetectTagRegister();
    DetectThresholdRegister();
    DetectMetadataRegister();
	...

    DetectMysqlmysqlRegister();

    /* close keyword registration */
    DetectBufferTypeCloseRegistration();
}

完成以上代码注册后,再次执行引擎分析,发现错误已经消失。

Setup用于初始化检测项

此例初始化中,对应mysql.sql:truncate,在执行Setup时,需要将truncate进行缓存,后续在规则检测时进行处理。其处理代码如下:

int DetectMysqlmysqlSetup(DetectEngineCtx *de_ctx, Signature *s, const char *str)
{
    uint8_t *de = NULL;
    SigMatch *sm = NULL;
    s->init_data->list = g_mysql_rust_id;

    if (DetectSignatureSetAppProto(s, ALPROTO_MYSQL) != 0)
        return -1;

    sm = SigMatchAlloc();
    if (sm == NULL)
        goto error;

    sm->type = DETECT_AL_MYSQL_MYSQL;
    char *value = SCMalloc(strlen(str) + 1);
    strcpy(value, str);
    sm->ctx = (SigMatchCtx *)value;

    SigMatchAppendSMToList(s, sm, g_mysql_rust_id);

    return 0;

error:
    if (de != NULL)
        SCFree(de);
    if (sm != NULL)
        SCFree(sm);
    return -1;
    return 0;
}

从以上代码不难看出,此函数的处理,是把truncate进行了缓存处理。

Free用于资源释放

在上一节的,初始化过程中,存在SigMatchAlloc申请资源的情况,需要在程序退出前执行资源释放

void DetectMysqlmysqlFree(DetectEngineCtx *de_ctx, void *de_ptr)
{
    if (de_ptr != NULL)
        SCFree(de_ptr);
}

AppLayerTxMatch用于协议解析完成后的规则检测

sigmatch_table[DETECT_AL_MYSQL_MYSQL].AppLayerTxMatch = DetectMysqlMatch;
此处注册的函数DetectMysqlMatch,在Mysql协议解析过程中的每个Transaction都会执行一次检测;本例中,相当于每执行一条sql语句就会执行一遍。
函数定义如下

static int DetectMysqlMatch(DetectEngineThreadCtx *det_ctx,
                               Flow *f, uint8_t flags, void *state,
                               void *txv, const Signature *s,
                               const SigMatchCtx *ctx) {
    
    uint8_t ret = 0;
    const uint8_t *data = NULL;
    uint32_t data_len = 0;
    SCLogDebug("DetectMysqlMatch: flags %d, txv %p, s %p, ctx %p", flags, txv, s, ctx);
    if (flags & STREAM_TOSERVER) {
        rs_mysql_get_request_buffer(txv, &data, &data_len);
    } else if (flags & STREAM_TOCLIENT) {
        rs_mysql_get_response_buffer(txv, &data, &data_len);      
    }
    SCLogDebug("DetectMysqlMatch: flags %d, txv %p, s %p, ctx %p done", flags, txv, s, ctx);

    if (data != NULL) {
        char* de = (char *)ctx;
        char *stripped_data = strip((const char *)data);
        return startsWith((const char *)stripped_data, de) ;
    }
    return 0;
}

其中rs_mysql_get_request_buffer,rs_mysql_get_response_buffer是rust中根据解析的内容,并返回缓存的函数。
其定义如下:

pub unsafe extern "C" fn rs_mysql_get_request_buffer(
    tx: *mut c_void, buf: *mut *const u8, len: *mut u32,
) -> u8 {
    let tx = cast_pointer!(tx, MysqlTransaction);
    if let Some(ref request) = tx.request {
        match request {
            MysqlFEMessage::SimpleQuery(quey) => {
                // If we have a login request, we can return the request buffer.
                if !quey.is_empty() {
                    *len = quey.len() as u32;
                    *buf = quey.as_ptr();
                    return 1; // success
                }
            }
            _ => {
			return 0;
            }
        }
    }
    return 0;
}

此处,我们只返回了SimpleQuery对应的sql语句,正好对应了mysql.sql,对于其他关键字,可以根据实际情况进行修改,比如,检测使用超级用户(root/admin)进行远程登录,其检测规则就需要修改成mysql.login_user:root;而后增加相应的规则处理即可。
此外,在检测之前,执行了strip操作,是因为;默认sql语句前面会增加一些注释,所以执行strip先去除注释内容,而后使用startsWith函数进行检测。(更严谨的做法,可能需要对sql语句进行语法分析后再检测;待完善–)

针对pcap文件进行检测

完成以上步骤后,使用pcap文件检验规则是否能产生告警

suricata -c suricata.yaml -k none -r mysql.pcap

打开eve.json后,查看alert情况

{"time":"2025-07-09T09:32:25.481582+0000","timestamp":1752053545481,"flow_id":"2036907348195717","pcap_cnt":54,"alarm_type":"alert","src_ip":"10.1.30.200","src_port":54366,"dest_ip":"10.1.1.3","dest_port":3306,"proto":"TCP","pkt_src":"wire/pcap","event_id":"ec830925-9c01-434c-9651-5e43c836da5f","tx_id":9,"alert":{"action":"allowed","gid":1,"signature_id":10001,"classification":"","rev":1,"signature":"test mysql detect","category":"","severity":3,"attack_result":"attempt","severity":3,"sid":10001},"tx_id":10,"request":{"message":"SimpleQuery","query":"/* ApplicationName=DBeaver 24.1.3 - SQLEditor <Script-17.sql> */ truncate tb_attack_20250111"},"protocol":"mysql","direction":"to_server","flow":{"pkts_toserver":35,"pkts_toclient":19,"bytes_toserver":5220,"bytes_toclient":11003,"start":"2025-07-09T09:31:27.146574+0000","src_ip":"10.1.30.200","dest_ip":"10.1.1.3","src_port":54366,"dest_port":3306}}

总结

通过以上操作,即完成了Mysql协议一条告警规则的新增及处理

suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
suricata mysql_配置suricata
weixin_29728529的博客
02-06 470
yum -y install libpcap libpcap-devel libnet libnet-devel pcre \pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel ...
NIDS——suricata(三)
weixin_58666006的博客
09-11 1596
监控除http以外的常见的协议,如:ICMP、TCP、SSH。扩展对MySql的预警
流量分析与NIDS系统之Suricata检测MySQL和SSH
没有网络安全就没有国家安全
03-21 1021
流量分析与NIDS系统之Suricata检测MySQL和SSH
Suricata入侵检测系统的搭建
煜铭2011
11-20 9313
0x01、安装CentOS1 基于CentOS-6.8-x86_64-bin-DVD1.iso,安装时选择desktop, customiz now,databases-->>mysql*, 进行安装mysql, 这里我们要配置可以访问外网。尽量选择多的开发包,不要选择最小化安装,因为那样的话,系统会缺失很多依赖包的,在后期编译的时候会出现很多问题的。毕竟现在硬盘和内存都很大了,不必节省那么点空间
suricata mysql_Suricata 配置文件阅读 以及标注
weixin_39882589的博客
02-11 734
Suricata.yamlSuricata uses the Yaml format for configuration. The Suricata.yamlfile included in the source code, is the example configuration ofSuricata. This document will explain each option.At the ...
NIDS——suricata(一)
weixin_58666006的博客
09-11 1232
NIDS——suricata环境安装和规则编写
Suricata监控与告警系统配置:实时检测网络威胁的最佳方案
gitblog_00076的博客
12-06 677
Suricata是一款强大的**网络入侵检测系统**(IDS)和**入侵预防系统**(IPS),能够实时监控网络流量并检测潜在威胁。作为OISF和社区共同开发的开源安全监控引擎,它提供了完整的网络安全监控解决方案。 ## 🎯 为什么选择Suricata进行网络威胁检测? Suricata的**实时威胁检测**能力让它成为企业网络安全的首选工具: - **高性能多线程架构**:充分利用多核C
SecGPT-14B效果实测:对Suricata规则的语义解释与绕过检测思路生成
weixin_29496633的博客
03-13 24
本文介绍了如何在星图GPU平台上自动化部署SecGPT-14B镜像,并实测了其在网络安全领域的专业能力。该模型能精准解读Suricata入侵检测规则,并基于语义理解生成实用的绕过检测思路,为安全分析人员提供高效的AI辅助。
【安全运营】Wazuh平台基础与规则体系
等风来
12-11 378
本文介绍了 Wazuh 平台的基础架构、核心功能及安装入门流程,重点解析告警规则体系及自定义规则方法,并通过实操案例讲解 PowerShell 错误日志与 Linux 新用户检测。文章还提供调试技巧、官方资源与常见问题指南,帮助安全人员快速上手并优化告警管理。
网络攻击之-暴力破解/密码喷射流量告警运营分析篇
村中少年的专栏
12-29 2166
通过列举SSH,SMB,RDP,MYSQL,PGSQL,Kerberos,NTLM等登录认证的数据包,讲解暴力破解的检测,研判分析以及处置建议等
suricata mysql_Suricata启用Hyperscan支持以及Prelude-siem安装方法.md
weixin_29263201的博客
02-11 630
# Suricata启用Hyperscan支持以及Prelude-siem安装方法## 0x01 安装 Hyperscan### 1、Hyperscan 安装要求:* GCC 版本大于等于 4.8.1,使用 yum 源安装即可* CMake 版本大于等于 2.8.11,使用 yum 源安装即可* Ragel 版本大于等于 6.9,使用 yum 源安装即可* Python 版本为 2.7,使用系统默...
suricata新增协议处理流程
chnming1987的博客
07-04 628
本文介绍了在Suricata新增MySQL协议处理流程的方法。首先通过源码安装Suricata,包括下载源码和编译步骤。然后使用setup-app-layer.py脚本生成协议框架代码,在rust/src目录下创建mysql协议解析的相关文件。重点解析了mysql.rs中的协议注册代码,其中RustParser结构体定义了各处理函数的入口,如连接处理(state_new)、请求解析(parse_ts)和响应解析(parse_tc)等。最后指出进行MySQL协议解析需要参考MySQL官方文档了解数据包结构。
suricata安装以及流量抓包
qq_39744805的博客
08-24 628
先安装wazuh的agent上篇博客有提到。与wazuh联动,所以查看wazuh官方文档配置要求跟着配置一步步走就行到这一步,需要将本台ubuntu的ip写上ip addr查看正在使用的是哪块网卡,例如ens33,写在interface后面全都完成好后重启wazuh-agent和suricata
开源工具利器之基于网络的IDS:Suricata
黑白的博客
04-24 7551
主程序目录核心配置(suricata.yaml)日志eve.json:json格式的预警信息(类似wazuh的alert.json)fast.log:预警核心文件,只用于非结构化存储预警信息(类似wazuh的alert.log)stats.log:Suricata的统计信息suricata.log:程序运行日志。
suricata安装,配置,运行
weixin_45504433的博客
03-08 1119
1.suricata安装 ./configure ./make ./make install-full 2.配置 /usr/local/etc/suricata/suricata.yaml 配置syslog输出为yes 3.运行 suricata -c suricata.yuml -s ./rules -i ens0 配置系统日志输出: /etc/rsyslog.d/rsyslog.conf 启动rsyslog失败 (个人重启时遇到问题,配置文件第36行注释掉后重启成功) 删除/var/lib/rsyslo
网络入侵检测平台
security_yj的博客
09-07 1092
一套完整的网络入侵检测平台,suricata(检测引擎) + barnyard(数据分析) + snorby(页面展示),详细源码如下: https://github.com/yanjinjin/btds
企业网络安全加固:软路由防火墙配置手把手教程
weixin_42163404的博客
01-17 528
详解如何利用软路由搭建企业级防火墙,提升网络安全性。从基础设置到高级规则配置,覆盖实际部署中的关键环节,帮助运维人员掌握软路由在网络安全加固中的核心应用。
【网安-研判-Security Onion】单机部署安装Security Onion
qq_41158292的博客
06-14 199
Security Onion(简称SO)是一款开源免费的企业级网络安全监控、威胁狩猎与入侵检测平台,基于CentOS开发,整合了数十款主流安全开源工具,将流量采集、日志存储、威胁告警、数据包分析、可视化研判能力一体化封装,广泛用于等保测评、护网行动、内网安全运维、恶意流量溯源等安全场景。
MySQL CVE-2018-6389漏洞剖析:资源耗尽攻击原理与纵深防护实战
最新发布
fanjava
06-18 330
数据库安全不仅涉及SQL注入和数据泄露,资源耗尽型攻击同样构成严重威胁。这类攻击通过消耗目标系统的关键计算资源(如CPU),导致服务拒绝,其原理往往隐藏在协议实现细节中。以MySQL的挑战-应答认证机制为例,客户端在握手阶段提供的参数会触发服务器端的哈希计算,若实现存在缺陷,恶意构造的超长参数可诱导服务器执行复杂度极高的运算,从而单线程同步地耗尽CPU核心。这种攻击技术价值在于其极低的利用成本与极高的破坏性,无需有效凭证即可瘫痪服务,常被用于DDoS攻击或作为复杂攻击链的干扰环节。应用场景广泛,从传统IDC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大明__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值