我需要允许某些被 snort 阻止的流量(例如来自特定地址的 ICMP)。我该怎么做?
答案1
主要有两种方法可以做到这一点
suppress规则——根据源或目标禁用对特定 SID 的警报pass规则——允许符合规则的流量通过没有检查任何其他规则
通行证规则
可用于忽略已知会生成大量警报但又值得信任的主机的流量。漏洞评估工具是其中一种重要工具。它们以任何其他警报规则的形式编写,只是使用“pass”语句而不是“alert”如果我们想允许来自其中一个的所有流量,我们可以使用:
pass ip 10.10.8.200/32 any <> any any (msg: "Ignore all Network Health monitoring"; sid: 1000013;)
这是一个非常简单的规则,它将忽略任何源地址为“10.10.8.200”且任何源端口通往任何目标端口上任何地址的 IP 流量。
禁止规则
这些主要用于过滤误报。它们要求管理员指定有关规则的更多信息,例如 gen_id 和 sig_id,以及忽略的条件。假设我们有一个系统定期执行大量反向 DNS 查找,因此会生成大量 NXDOMAIN 查询。这通常可以表示网络侦察,但在这种情况下,这是预期的行为。我们可以使用以下方法忽略它:
suppress gen_id 1, sig_id 13948, track by_dst, ip 10.10.8.240
对于标准“警报”规则,gen_id 始终为 1,我们要忽略的 SID 是 13948,执行所有这些查找的主机是“10.10.8.240”。
具体要求
在您所处的情况下,您应该能够采取以下措施:
pass icmp 10.10.8.200/32 any <> any any (msg: "Ignore all ICMP Traffic by Host"; sid: 1000087;)
与上述基于 IP 的规则类似,这应该忽略任何来自从'10.10.8.200',不管目的地是谁。
其他资源
当然,这些规则可能会变得更加复杂,但您需要阅读更多有关具体内容的文档。最好的办法是进行一些 Google 搜索并仔细阅读,但我发现有用的文档是(无特定顺序):
答案2
很棒的信息,如果我只想抑制一个端口怎么办?
我想做类似的事情
suppress gen_id 1, sig_id 1394, track by_dst, ip 10.182.196.135:925
925 是我的 smtp 内部端口。通过 smtp 发送的电子邮件会发出一大堆我不需要看到的警报。
这能与末端的端口一起工作吗?