我们有一个运行数据包检查的 pfSense 路由器。我们的日志中充满了以下请求:
SURICATA UDPv4 invalid checksum
研究表明,我们应该做到以下几点:
Disable the stream-events.rules via SID Mgmt. (Yeah, I mean the whole category. Zillions of FPs.)
但是,我在类别列表下找不到 stream-events.rules。
我们正在使用 snort 相关规则与 suricata 一起运行 pfSense。
答案1
根据此站点,您可以创建一个disablesid.conf看起来有点像这样的文件(其中有额外的内容,请使用您需要的内容)
https://forum.pfsense.org/index.php?topic=95881.0
# Messes up with DNS resolution on LAN
1:2200073 # SURICATA IPv4 invalid checksum
# Bittorrent noise, DNS
1:2200075 # SURICATA UDPv4 invalid checksum
1:2200078 # SURICATA UDPv6 invalid checksum
# Lots of useless noise
1:2200076 # SURICATA ICMPv4 invalid checksum
1:2200079 # SURICATA ICMPv6 invalid checksum
然后将其设置为禁用 SID 文件您感兴趣的界面。
答案2
我知道这是一篇旧帖子,但我找不到直奔主题的答案。通过最近的更新,您可以从 GUI 编辑 Suricata 规则。
服务选项卡>Suricata>接口>通过“操作”列下接口列表中的铅笔图标编辑>lan(或 wan)规则。
选择您想要更改的警报类别。在本例中,它将是“decoder-events.rules”。如果需要,只需参考您的界面警报即可。我使用 ctrl+F 在本页面上查找我想要更改的特定 SID,然后点击“状态”列下的图标。确保点击应用。希望这对某人有帮助!