DPDK安装部署

1、 DPDK下载

下载dpdk-stable-18.02.2.tar.gz并解压，进入解压后dpdk目录下。

https://fast.dpdk.org/rel/dpdk-18.02.2.tar.xz

2、 设置环境变量

export RTE_SDK=$PWD，exportRTE_TARGET=x86_64-native-linuxapp-gcc。

建议在/etc/profile中设置，设置完后执行source /etc/profile永久生效。

可执行echo

$RTE_SDK进行验证。

3、 设置大叶内存：

mkdir -p /mnt/huge

mount -t hugetlbfs nodev /mnt/huge

echo

1024>/sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

4、 编译DPDK：

make config T=x86_64-native-linuxapp-gcc

make

make install T=x86_64-native-linuxapp-gcc

5、 安装kernel module：

modprobe uio

insmod build/kmod/igb_uio.ko

6、 绑定网卡：

系统建议设置三块网卡，两个给DPDK使用。

ifconfig ens33 down

ifconfig ens36 down

./usertools/dpdk-devbind.py

--bind=igb_uio ens33(或者0000:02:01.0)

./usertools/dpdk-devbind.py

--bind=igb_uio ens36(或者0000:02:04.0)

执行./usertools/dpdk-devbind.py

–s进行验证查看：

7、 测试验证

cd examples/helloword

rm –rf build/ (如果build文件夹存在)

make

./build/helloworld

出现以下内容则安装成功：

DPDK-Suricata3.0安装部署

1、 下载DPDK-Suricata_3.0并解压，解压后进入DPDK-Suricata_3.0-master/suricata-3.0/

2、 编译DPDK-Suricata_3.0:

autoconf

./configure –enable-dpdkintel

make –j 10

3、 配置设置：

配置文件suricata.yaml为DPDK-Suricata-3.0整体配置文件。

配置默认日志路径：default-log-dir: /usr/local/var/log/suricata/ (该设置在suricata.yaml中）

mkdir/usr/local/etc/suricata/

cp ./classification.config /usr/local/etc/suricata/

cp ./reference.config /usr/local/etc/suricata/

cp ./suricata.yaml /usr/local/etc/suricata/

cp ./threshold.config /usr/local/etc/suricata/

mkdir /usr/local/var/log/suricata/

在suricata.yaml中配置dpdkintel，内容如下图：

4、 测试DPDK-Suricata-3.0是否安装成功：

执行命令./src/suricata –list-runmodes出现如下效果：

执行命令./src/suricata –list-dpdkintel-ports出现如下效果：

5、 自定义规则测试DPDK-Suricata-3.0检测引擎效果：

在/usr/local/etc/suricata/rules下创建test-baidu.rules文件，内容为：

alert http

any any -> any any (msg:"hit baidu.com...";

content:"baidu"; reference:url, www.baidu.com;)

安装流量发包工具（科来提供），抓取访问百度网站的pcap包文件，然后执行发包命

令：tcpreplay -i ens32 -l0 -M 10 baidu.pcap

ens32为正常网口，区分ens33、ens36，baidu.pcap为抓取的百度流量包。

然后执行命令：./src/suricata -csuricata.yaml -s /usr/local/etc/suricata/rules/test-baidu.rules –dpdkintel

在/usr/local/var/log/suricata目录下生成以下内容则检测引擎运行成功：

其中fast.log内容为生成的告警信息：

Scirius安装部署

Scirius用户指南：https://scirius.readthedocs.io/en/latest/

1、 安装相关依赖：

安装python-pip，pypi.org上下载pip19.2.1.tar.gz解压安装。

下载sciriushttp://www.github.com/StamusNetworks/scirius，解压。

切换到scirius目录：cd scirius，安装django和依赖项，执行：pip install –rrequirements.txt

如果出现:ERROR: requests 2.21.0 has requirementurllib3<1.25,>=1.21.1, but you'll have urllib3 1.25.1 which isincompatible

建议升级pip install--upgrade urllib3

要使用处理suricata restart的suri

_reloader脚本，还需要安装pyinotify, 执行：pip install  pyinotify

安装gitdb模块、GitPython模块 ：pip install gitdb、pip installgitpython==0.3.1-beta2

对于npm 和 webpack，需要安装稳定版本的npm和webpack 版：

yuminstall npm

全局安装webpack 和webpack-cli:

npminstall  webpack@3.11  -g

npminstall  webpack-cli  -g

建议也局部安装一次:

npminstall webpack@3.11 --save-dev

npminstall webpack-cli --save-dev

更新依赖:  npm install

2、 安装scirius

切换到scirius/hunt 下执行：cd 

scirius/hunt 、 npm  install 、npm run build

如果此时失败,提示为: "file":

"node_modules/patternfly/dist/sass/_patternfly.scss", 是出于路径问题,需要增加对应路径.在hunt/package.json文件中,在字段"scripts"增加路径:

--include-path=node_modules/bootstrap-sass/assets/stylesheets/

--include-path=node_modules/font-awesome-sass/assets/stylesheets/

重新执行npm run build

3、运行scirius

Scirius根目录下,启动Django数据库：python manage.py migrate

创建超级用户：pythonmanage.py createsuperuser

启动应用之前，运行webpack构建bundle: webpack、python manage.pycollecstatic

启动Scirius CE:python manage.py runserver

程序侦听可访问地址：pythonmanage.py runserver 192.168.88.131:8000

关闭防火墙，在浏览器中访问：192.168.88.131:8000出现Scirius界面：

Sources: 规则源模块，用于管理规则源的启动停用。

Rulesets:规则集模块，用于规则集及规则的各项管理。

Suricata:suricata模块，用与管理suricata与scirius联动。

4、suricata设置：

在suricata.yaml文件中配置：

所有的规则都合并在scirius.rules文件中。

5、后续应用安装：

后续要安装部署ElasticSearch、Kibana、Evebox用于告警信息的呈现管理。

相关配置：

scirius-master/scirius/settings.py文件