抓取模拟攻击数据-nmap扫描

1.攻击机kali 192.168.0.100 靶机centos 192.168.4.211

2.靶机安装tshark并捕获流量

#安装tshark
yum install -y wireshark

#捕获流量
tshark -i ens33 -w nmap_scan.pcap

3.kali发起nmap扫描

#SYN stealth扫描
nmap -sS 192.168.1.200

#版本探测扫描 (-sV)
nmap -sV 192.168.1.200

#操作系统探测扫描 (-O)
nmap -O 192.168.1.200

#aggressive 扫描 (-A)，综合性扫描
nmap -A 192.168.1.200

4.tshark查看流量信息

#tshark捕获流量
tshark -i ens192 -w nmap_scan.pcap

# 更详细地查看TCP flags等信息
tshark -r nmap_scan.pcap -V | grep "Flags"

# 查看负载（Payload）中的数据，寻找Nmap特征
tshark -r nmap_scan.pcap -x | grep Nmap

5.wireshark过滤扫描包的nmap特征

ip.addr == 192.168.0.100 and ip.addr == 192.168.4.211 && tcp.payload contains "nmap"

 6.centos编译安装suricata

#安装依赖
yum install -y build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libnss3-dev libgeoip-dev liblua5.3-dev libhiredis-dev libevent-dev cargo rustc

#官网下载suricata源码包

#根据版本解压
tar xzvf suricata-8.0.0.tar.gz && cd suricata-8.0.0

#生成配置文件
./configure --enable-debug --prefix=/usr --sysconfdir=/etc --localstatedir=/var

#编译（使用多核加速）
make -j$(nproc)

#安装ET全量规则
make install-full

7.运行suricata检测pcap数据

#进入/etc/suricata目录，产生的告警日志存放在/etc/suricata/log，后台运行suricata
suricata -c /etc/suricata/suricata.yaml  -i ens192 -l /etc/suricata/log -D

#进入日志目录
cd /etc/suricata/log

#取出告警日志到win主机
scp -p 22 -r root@192.168.4.211:/etc/suricata/log/eve.json .

#在Linux界面显示告警json数据
tail -f /etc/suricata/log/eve.json | jq 'select(.alert)'

 8.suricata开启生成PCAP包

1. 启用 eve-log 并配置 pcap-file 选项
pcap-file 配置块。

# suricata.yaml

eve-log:
  enabled: yes
  # ... 其他eve输出配置（如json输出到文件）...

  # 这是配置PCAP输出的关键部分
  pcap-file:
    enabled: yes               # 必须设置为 yes
    filename: eve.pcap        # 生成的PCAP文件的基本名

    # 以下两项决定PCAP文件如何滚动（rollover），防止单个文件过大
    max-size: 100mb           # 每个PCAP文件的最大大小，例如 100mb, 1gb
    max-files: 10             # 保留的最大PCAP文件数量。达到数量后，最旧的文件会被覆盖。

    # 压缩生成的pcap文件
    #compression: gzip         # 可选：gzip 或 lz4。注释掉则禁用压缩。
    #compression-level: 6      # gzip的压缩级别 (1-9)

    # 要包含在PCAP中的流量类型
    # 可选值： "alert" (仅警报流量), "metadata" (元数据，不常用), "custom" (自定义，高级用法)
    mode: alert               # 通常我们只保存触发警报的流量

    # 对于“alert”模式，此选项控制是否保存触发警报的数据包所在的整个流
    # 可选值： "yes" (保存该警报数据包所在TCP流的所有包), "no" (仅保存触发警报的单个数据包)
    stream: no                # 建议先设为 'no' 以节省空间，需要时再改为 'yes'

    # 用于匹配警报的规则ID。如果注释掉，则所有警报的流量都会被保存。
    #rule: 1:2100498           # 可选：只保存匹配此规则ID（sid）的警报流量

    # PCAP文件的存储目录
    #dir: /var/log/suricata/pcaps  # 强烈建议设置一个专用目录
关键配置解释与操作：


2. （可选但推荐）创建专用目录并设置权限
bash
# 创建存储PCAP的目录
sudo mkdir /var/log/suricata/pcaps

# 将目录的所有权赋予运行Suricata的用户（通常是suricata或root）
sudo chown suricata:suricata /var/log/suricata/pcaps  # 如果用户是suricata
# 或者
sudo chown root:root /var/log/suricata/pcaps          # 如果用户是root

# 确保目录有正确的权限
sudo chmod 755 /var/log/suricata/pcaps
然后在配置中取消注释并设置 dir 选项：

yaml
    dir: /var/log/suricata/pcaps
3. 确保 eve-log 的 fileinfo 模块已启用
fileinfo 模块提供了提取文件信息的功能，虽然不直接生成PCAP，但它是 EVE 日志完整功能的一部分。确保它没有被禁用。

在配置文件中找到以下部分：

yaml
# 配置fileinfo日志记录（用于记录传输文件的信息）
fileinfo:
  enabled: yes       # 确保这里是 yes
  # ... 其他fileinfo配置 ...