Назад | Перейти на главную страницу

Как мне настроить Securityonion / snort, чтобы не захватывать определенные пакеты?

После просмотра моих файлов pcaps из Security onion, я хотел бы отфильтровать хост (назовем его 192.168.4.4) и отфильтровать некоторый трафик (порты 80 и 443), текущий проект должен смотреть на другой трафик, не связанный с Интернетом.

запустив tcpdump / windump, я могу сделать это просто tcpdump -w notwww.pcap not 192.168.4.4 not port 80 not port 443

Но я не могу найти документацию или место, чтобы поместить это в конфигурацию.

Меня немного смущает ваш вопрос. Когда я использовал запланированный TCPDUMP, я всегда просто вызывал его из задания cron. Я не верю, что есть файл конфигурации для применения фильтров.

Также я считаю, что вам не хватает ваших предложений AND в приведенном выше заявлении.

Я считаю, что ваше утверждение должно выглядеть примерно так:

tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap

Вы также можете использовать предложение OR, чтобы упростить ваш оператор

tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap

Надеюсь это поможет.

Это делается с помощью фильтра пакетов Berkeley bpf.
конфиг находится в вашем / etc / nsm / $ имя датчика / bpf.conf Я не нашел действительно хороший ресурс, как их писать, но для моих требований это сработало

! host 192.168.4.4 && ! port 80 && ! port 443