Linux-Networking

如何設置 Securityonion/snort 不擷取某些數據包?

  • April 27, 2020

在通過安全洋蔥查看我的 pcaps 後,我想過濾掉一個主機(我們稱之為 192.168.4.4)並過濾掉一些流量(埠 80 和 443),目前的項目是查看其他與網路無關的流量。

執行 tcpdump/windump 我可以簡單地做到這一點 tcpdump -w notwww.pcap not 192.168.4.4 not port 80 not port 443

但我找不到將其放入配置的文件或位置。

這是通過 bpf Berkley Packet Filter 完成的。

配置位於您的**/etc/nsm/$sensorname/bpf.conf** 我還沒有找到一個非常好的資源如何編寫它們,但對於我的要求這有效

! host 192.168.4.4 && ! port 80 && ! port 443

我對你的問題有點困惑。當我使用 scheuled TCPDUMP 時,我總是從 cronjob 中呼叫它。我不相信有一個配置文件來應用過濾器。

另外,我相信您在上述聲明中缺少 AND 子句。

我相信你的陳述應該更像這樣:

tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap

您還可以使用 OR 子句來簡化您的語句

tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap

希望這可以幫助。

引用自:https://serverfault.com/questions/571016