Suricata non rileva il traffico "autonomo"

0

Ho creato due semplici regole

alert tcp any any -> any any (msg: "tcp detected"; sid: 2; rev: 1;)
alert udp any any -> any any (msg: "udp detected"; sid: 1; rev: 1;)

Poi dalla stessa macchina faccio una nmap

nmap -sU myipaddress

Il problema è che ricevo gli avvisi da tutti gli altri tipi di traffico, ma per la nmap non ricevo alcun avviso. Suricata ha una regola per ignorare il tipo di traffico che destinazione ip = origine ip?

    
posta Michael 13.11.2017 - 04:07
fonte

1 risposta

1

Verifica di aver rilevato l'interfaccia corretta. il traffico nmap può andare in loopback uno (usando le informazioni di routing) e si può sniffare l'iface esterno.

Se l'interfaccia è corretta e se si sta utilizzando l'acquisizione di pcap, si potrebbe voler aggiungere l'opzione '-k none' per evitare il problema correlato al carico offload. Gli avvisi mancanti vengono spesso perché Suricata ignorerà i pacchetti con checksum non valido. E la checksum che si scarica sulla carta causerà quella per i pacchetti emessi localmente. Pertanto, quando si utilizza il traffico locale per testare il traffico, è necessario occuparsene. La soluzione è utilizzare il metodo di acquisizione moderno come af_packet o passare '-k none' per interrompere la convalida del checksum.

    
risposta data 13.11.2017 - 08:59
fonte

Leggi altre domande sui tag