如何设置 Securityonion/snort 不捕获某些数据包？

Question 1

我对你的问题有点困惑。当我使用计划的 TCPDUMP 时，我总是从 cronjob 中调用它。我不相信有一个配置文件可以应用过滤器。

此外，我认为您在上面的声明中缺少 AND 子句。

我相信你的陈述应该更像这样：

tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap

您还可以使用 OR 子句来简化您的语句

tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap

希望这可以帮助。

Answer

我对你的问题有点困惑。当我使用计划的 TCPDUMP 时，我总是从 cronjob 中调用它。我不相信有一个配置文件可以应用过滤器。

此外，我认为您在上面的声明中缺少 AND 子句。

我相信你的陈述应该更像这样：

tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap

您还可以使用 OR 子句来简化您的语句

tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap

希望这可以帮助。

Question 2

这是通过 bpf Berkley 数据包过滤器完成的。
配置位于您的/etc/nsm/$传感器名称/bpf.conf 我还没找到真的如何编写它们的好资源，但对于我的要求，这有效

! host 192.168.4.4 && ! port 80 && ! port 443

Answer

这是通过 bpf Berkley 数据包过滤器完成的。
配置位于您的/etc/nsm/$传感器名称/bpf.conf 我还没找到真的如何编写它们的好资源，但对于我的要求，这有效

! host 192.168.4.4 && ! port 80 && ! port 443

相关内容