背景:

生产环境中部署了suricata,日常规则更新使用suricata-update,如果想禁用某些规则,可以在配置文件/etc/suricata/disable.conf中添加,比如:

     #禁用规则号

group:dshield.rules    #禁用组 dshield.rules

re:heartbledd   #禁用与heartblead相关的规则

但是有些带有flowbits的规则无法直接禁用,比如规则号 2018959,该规则的具体内容如下

alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET POLICY PE EXE or DLL Windows file download HTTP"; flow:established,to_client; flowbits:isnotset,ET.http.binary; flowbits:isnotset,ET.INFO.WindowsUpdate; file_data; content:"MZ"; within:; byte_jump:,,relative,little; content:"PE|00 00|"; distance:-; within:; flowbits:set,ET.http.binary; reference:url,doc.emergingthreats.net/bin/view/Main/; classtype:policy-violation; sid:; rev:; metadata:created_at 2014_08_19, updated_at 2017_02_01;)

查询官方解决方法,要么就是该规则前面加 #号注释,但是使用suricata-update的时候会自动覆盖回来,结果不好,

另外一种解决办法:压缩规则,官方介绍在

编辑配置文件 /etc/suricata/threshold.config 加入如下内容

suppress gen_id , sig_id

最新文章

  1. 我的MYSQL学习心得(十七) 复制
  2. Django 1.7 Tutorial 学习笔记
  3. linux中Jetty的安装和配置
  4. VI和VIM编辑器深入学习笔记--基本vi命令
  5. Netty 4(一) zero copy
  6. 基于EF的数据外键关联查询
  7. DHCP 服务器
  8. 关于html页面图片自动撑开的问题
  9. Linux企业级项目实践之网络爬虫(9)——通过URL抓取网页内容
  10. IOS中的id与nil
  11. 使用postgre数据库实现树形结构表的子-父级迭代查询,通过级联菜单简单举例
  12. vbs文件共享变量与函数的方法
  13. linux文件访问权限(像rw-r--rw-是什么意思)
  14. Python模块 - time,datetime,calendar
  15. P1091 合唱队形 最长上升子序列
  16. .net core 中间件实战
  17. [ExcelHome]15个常用的Excel函数公式,拿来即用
  18. 用Java批量重命名文件
  19. Jmeter(四十)BeanShell范例
  20. 百度Web Uploader组件实现文件上传之分片上传(一)

热门文章

  1. 为什么单个TCP连接很难占满带宽
  2. Golang gRPC微服务02: helloworld
  3. 【学习笔记】XPath定位总结
  4. Openstack架构及配置
  5. Leetcode之动态规划(DP)专题-198. 打家劫舍(House Robber)
  6. hydra 使用
  7. Nginx配置缓存服务器
  8. kubeadm快速安装k8s
  9. Elasticsearch基础入门,详情可见官方文档
  10. c++文件指针读写图片文件