У нас есть маршрутизатор pfSense, работающий с проверкой пакетов. Наши логи пополняются такими запросами:
SURICATA UDPv4 invalid checksum
Исследования показывают, что мы должны делать следующее:
Disable the stream-events.rules via SID Mgmt. (Yeah, I mean the whole category. Zillions of FPs.)
Однако я не могу найти этот stream-events.rules в списке категорий.
Мы запускаем pfSense с suricata, используя правила, связанные с snort.
Согласно этому сайту, вы можете создать disablesid.conf файл, который выглядит примерно так (в нем есть лишнее, используйте то, что вам нужно)
https://forum.pfsense.org/index.php?topic=95881.0
# Messes up with DNS resolution on LAN
1:2200073 # SURICATA IPv4 invalid checksum
# Bittorrent noise, DNS
1:2200075 # SURICATA UDPv4 invalid checksum
1:2200078 # SURICATA UDPv6 invalid checksum
# Lots of useless noise
1:2200076 # SURICATA ICMPv4 invalid checksum
1:2200079 # SURICATA ICMPv6 invalid checksum
Затем установите его как Отключить файл SID для интересующего вас интерфейса.
Я знаю, что это старый пост, но у меня возникла проблема с поиском ответов прямо по сути. В последнем обновлении вы можете редактировать правила Suricata из графического интерфейса.
Вкладка Services> Suricata> Интерфейсы> редактировать с помощью значка карандаша в списке интерфейсов в столбце «Действия»> правила LAN (или WAN).
Выберите категорию предупреждения, которое вы хотите изменить. В этом случае это будет «decoder-events.rules». Просто вернитесь к предупреждениям вашего интерфейса, если это необходимо. Я использую ctrl + F для поиска конкретного идентификатора безопасности, который я хочу изменить на этой странице, и просто нажимаю значок в столбце «состояние». Убедитесь, что вы нажали «Применить». Надеюсь, это кому-то поможет!