Linux-Networking
如何設置 Securityonion/snort 不擷取某些數據包?
在通過安全洋蔥查看我的 pcaps 後,我想過濾掉一個主機(我們稱之為 192.168.4.4)並過濾掉一些流量(埠 80 和 443),目前的項目是查看其他與網路無關的流量。
執行 tcpdump/windump 我可以簡單地做到這一點 tcpdump -w notwww.pcap not 192.168.4.4 not port 80 not port 443
但我找不到將其放入配置的文件或位置。
這是通過 bpf Berkley Packet Filter 完成的。
配置位於您的**/etc/nsm/$sensorname/bpf.conf** 我還沒有找到一個非常好的資源如何編寫它們,但對於我的要求這有效
! host 192.168.4.4 && ! port 80 && ! port 443
我對你的問題有點困惑。當我使用 scheuled TCPDUMP 時,我總是從 cronjob 中呼叫它。我不相信有一個配置文件來應用過濾器。
另外,我相信您在上述聲明中缺少 AND 子句。
我相信你的陳述應該更像這樣:
tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap
您還可以使用 OR 子句來簡化您的語句
tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap
希望這可以幫助。