本文基于网络安全系列-三十六:使用Suricata IDS分析pcap文件 和 网络安全系列-四十二: Suricata之rulesets的激活、更新及动态加载的基础上,使用suricata针对包含恶意流量的pcap文件进行分析,触发事件告警,并对suricata输出的日志进行逐个分析。
包含恶意流量的pcap文件从malware-traffic-analysis 恶意网络流量分析网站下载,下载地址是:2019-07-19-traffic-analysis-exercise.pcap.zip
你也可以选择其它恶意流量pcap文件进行分析,网址是:malware-traffic-analysis training-exercises
可以看到,网站不仅提供了包含恶意流量的pcap文件,还提供了触发的告警alert及恶意流量中包含的恶意软件。
注意: 压缩包都是受密码保护的,解压时需要输入密码,密码请参见