Ho creato due semplici regole
alert tcp any any -> any any (msg: "tcp detected"; sid: 2; rev: 1;)
alert udp any any -> any any (msg: "udp detected"; sid: 1; rev: 1;)
Poi dalla stessa macchina faccio una nmap
nmap -sU myipaddress
Il problema è che ricevo gli avvisi da tutti gli altri tipi di traffico, ma per la nmap non ricevo alcun avviso. Suricata ha una regola per ignorare il tipo di traffico che destinazione ip = origine ip?
Verifica di aver rilevato l'interfaccia corretta. il traffico nmap può andare in loopback uno (usando le informazioni di routing) e si può sniffare l'iface esterno.
Se l'interfaccia è corretta e se si sta utilizzando l'acquisizione di pcap, si potrebbe voler aggiungere l'opzione '-k none' per evitare il problema correlato al carico offload. Gli avvisi mancanti vengono spesso perché Suricata ignorerà i pacchetti con checksum non valido. E la checksum che si scarica sulla carta causerà quella per i pacchetti emessi localmente. Pertanto, quando si utilizza il traffico locale per testare il traffico, è necessario occuparsene. La soluzione è utilizzare il metodo di acquisizione moderno come af_packet o passare '-k none' per interrompere la convalida del checksum.
Leggi altre domande sui tag snort