pfSense 和禁用 SURICATA UDPv4 无效校验和

pfSense 和禁用 SURICATA UDPv4 无效校验和

我们有一个运行数据包检查的 pfSense 路由器。我们的日志中充满了以下请求:

SURICATA UDPv4 invalid checksum

研究表明,我们应该做到以下几点:

Disable the stream-events.rules via SID Mgmt. (Yeah, I mean the whole category. Zillions of FPs.)

但是,我在类别列表下找不到 stream-events.rules。

我们正在使用 snort 相关规则与 suricata 一起运行 pfSense。

答案1

根据此站点,您可以创建一个disablesid.conf看起来有点像这样的文件(其中有额外的内容,请使用您需要的内容)

https://forum.pfsense.org/index.php?topic=95881.0

# Messes up with DNS resolution on LAN
1:2200073 # SURICATA IPv4 invalid checksum
# Bittorrent noise, DNS
1:2200075 # SURICATA UDPv4 invalid checksum
1:2200078 # SURICATA UDPv6 invalid checksum
# Lots of useless noise
1:2200076 # SURICATA ICMPv4 invalid checksum
1:2200079 # SURICATA ICMPv6 invalid checksum

然后将其设置为禁用 SID 文件您感兴趣的界面。

答案2

我知道这是一篇旧帖子,但我找不到直奔主题的答案。通过最近的更新,您可以从 GUI 编辑 Suricata 规则。

服务选项卡>Suricata>接口>通过“操作”列下接口列表中的铅笔图标编辑>lan(或 wan)规则。

选择您想要更改的警报类别。在本例中,它将是“decoder-events.rules”。如果需要,只需参考您的界面警报即可。我使用 ctrl+F 在本页面上查找我想要更改的特定 SID,然后点击“状态”列下的图标。确保点击应用。希望这对某人有帮助!

相关内容