如何設置 Securityonion/snort 不擷取某些數據包？

在通過安全洋蔥查看我的 pcaps 後，我想過濾掉一個主機（我們稱之為 192.168.4.4）並過濾掉一些流量（埠 80 和 443），目前的項目是查看其他與網路無關的流量。

執行 tcpdump/windump 我可以簡單地做到這一點 tcpdump -w notwww.pcap not 192.168.4.4 not port 80 not port 443

但我找不到將其放入配置的文件或位置。

這是通過 bpf Berkley Packet Filter 完成的。

配置位於您的**/etc/nsm/$sensorname/bpf.conf** 我還沒有找到一個非常好的資源如何編寫它們，但對於我的要求這有效

! host 192.168.4.4 && ! port 80 && ! port 443

我對你的問題有點困惑。當我使用 scheuled TCPDUMP 時，我總是從 cronjob 中呼叫它。我不相信有一個配置文件來應用過濾器。

另外，我相信您在上述聲明中缺少 AND 子句。

我相信你的陳述應該更像這樣：

tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap

您還可以使用 OR 子句來簡化您的語句

tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap

希望這可以幫助。

引用自：https://serverfault.com/questions/571016