我需要允许某些通过snort阻止的stream量,例如来自特定地址的ICMP。 我怎样才能做到这一点?
主要有两种方法可以做到这一点
suppress规则 – 禁用基于源或目标的特定SID的警报 pass规则 – 允许匹配规则的stream量通过而不检查任何其他规则 通过规则
用于忽略来自已知会生成大量警报的主机的stream量,但也被称为受信任的stream量。 漏洞评估工具是一个很大的漏洞。 除了使用“pass”语句而不是“alert”之外,它们是以任何其他警报规则的forms写入的。如果我们想要允许来自其中一个的所有通信,我们可以使用:
pass ip 10.10.8.200/32 any <> any any (msg: "Ignore all Network Health monitoring"; sid: 1000013;)
这是一个非常简单的规则,它将忽略源地址为“10.10.8.200”的任何IPstream量,任何源端口都将转到任何目标端口上的任何地址。
禁止规则
这些主要用于过滤误报。 他们需要pipe理员指定更多关于规则的信息,例如gen_id和sig_id,以及要忽略的条件。 比方说,我们有一个定期执行反向DNS查询的系统,因此会产生大量的NXDOMAIN查询。 这通常可以指示networking侦察,但在这种情况下,这是预期的行为。 我们可以忽略它使用:
suppress gen_id 1, sig_id 13948, track by_dst, ip 10.10.8.240
对于标准的“警报”规则,gen_id总是1,我们要忽略的SID是13948,执行所有这些查找的主机是'10.10.8.240'。
具体请求
在这种情况下,你应该能够摆脱这样的事情:
pass icmp 10.10.8.200/32 any <> any any (msg: "Ignore all ICMP Traffic by Host"; sid: 1000087;)
与上述基于IP的规则类似,无论目的地是谁,都应该忽略来自 “10.10.8.200”的任何ICMPstream量。
其他资源
当然,这些规则可能会变得更复杂,但是您需要阅读更多关于细节的文档。 你最好的办法是只做几个谷歌search和块,但我发现有用的文件是(没有特定的顺序):
伟大的信息,如果我只是想压制一个单一的端口呢?
我想要做类似的事情
suppress gen_id 1, sig_id 1394, track by_dst, ip 10.182.196.135:925
与925是我的内部端口smtp。 电子邮件通过smtp转储出警报负载我不需要看到。
那可以和端口一起工作吗?