Loopback con Suricata

Naviga le tue risposte
0

C'è un modo per analizzare il traffico di loopback con Suricata?

Ci sto provando in questo modo senza successo: 

root@security-onion:/home/sar/TFM/alerts/suricata# suricata -c /etc/suricata/suricata.yaml -i lo -l . -k none
7/9/2018 -- 19:32:25 - <Notice> - This is Suricata version 4.0.5 RELEASE
7/9/2018 -- 19:32:29 - <Warning> - [ERRCODE: SC_ERR_SYSCALL(50)] - Failure when trying to set feature via ioctl for 'lo': Operation not supported (95)
7/9/2018 -- 19:32:29 - <Notice> - all 2 packet processing threads, 4 management threads initialized, engine started.
7/9/2018 -- 19:32:29 - <Error> - [ERRCODE: SC_ERR_INVALID_VALUE(130)] - Frame size bigger than block size
7/9/2018 -- 19:32:29 - <Error> - [ERRCODE: SC_ERR_AFP_CREATE(190)] - Couldn't init AF_PACKET socket, fatal error
7/9/2018 -- 19:32:29 - <Error> - [ERRCODE: SC_ERR_FATAL(171)] - thread W#01-lo failed

Questo è il file di configurazione suricata: suricata.yaml

Qualche suggerimento?

    
posta Neveralways 07.09.2018 - 19:35
fonte

1 risposta

0

Se vuoi eseguire in Pcap modalità live, dovresti convertire -ff AF_PACKET in modalità da file di configurazione suricata: suricata.yaml . 

# Linux high speed capture support
af-packet:
  - interface: lo

hai ricevuto un errore a causa della modalità di cattura dei pacchetti af-packet, probabilmente non configurata correttamente. 

7/9/2018 -- 19:32:29 - <Error> - [ERRCODE: SC_ERR_AFP_CREATE(190)] - Couldn't init AF_PACKET socket, fatal error
    
risposta data 12.09.2018 - 17:08
fonte

Leggi altre domande sui tag

Come può un token JWT avere più segreti? Android & Man In the Middle - come ha fatto Fox News a farlo?