[Suricata]无法禁用某些规则的解决办法
2024-09-02 02:44:36
背景:
生产环境中部署了suricata,日常规则更新使用suricata-update,如果想禁用某些规则,可以在配置文件/etc/suricata/disable.conf中添加,比如:
#禁用规则号
group:dshield.rules #禁用组 dshield.rules
re:heartbledd #禁用与heartblead相关的规则
但是有些带有flowbits的规则无法直接禁用,比如规则号 2018959,该规则的具体内容如下
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET POLICY PE EXE or DLL Windows file download HTTP"; flow:established,to_client; flowbits:isnotset,ET.http.binary; flowbits:isnotset,ET.INFO.WindowsUpdate; file_data; content:"MZ"; within:; byte_jump:,,relative,little; content:"PE|00 00|"; distance:-; within:; flowbits:set,ET.http.binary; reference:url,doc.emergingthreats.net/bin/view/Main/; classtype:policy-violation; sid:; rev:; metadata:created_at 2014_08_19, updated_at 2017_02_01;)
查询官方解决方法,要么就是该规则前面加 #号注释,但是使用suricata-update的时候会自动覆盖回来,结果不好,
另外一种解决办法:压缩规则,官方介绍在这,
编辑配置文件 /etc/suricata/threshold.config 加入如下内容
suppress gen_id , sig_id
最新文章
- 我的MYSQL学习心得(十七) 复制
- Django 1.7 Tutorial 学习笔记
- linux中Jetty的安装和配置
- VI和VIM编辑器深入学习笔记--基本vi命令
- Netty 4(一) zero copy
- 基于EF的数据外键关联查询
- DHCP 服务器
- 关于html页面图片自动撑开的问题
- Linux企业级项目实践之网络爬虫(9)——通过URL抓取网页内容
- IOS中的id与nil
- 使用postgre数据库实现树形结构表的子-父级迭代查询,通过级联菜单简单举例
- vbs文件共享变量与函数的方法
- linux文件访问权限(像rw-r--rw-是什么意思)
- Python模块 - time,datetime,calendar
- P1091 合唱队形 最长上升子序列
- .net core 中间件实战
- [ExcelHome]15个常用的Excel函数公式,拿来即用
- 用Java批量重命名文件
- Jmeter(四十)BeanShell范例
- 百度Web Uploader组件实现文件上传之分片上传(一)