[Suricata]没法禁用某些规则的解决办法
背景:html
生产环境中部署了suricata,平常规则更新使用suricata-update,若是想禁用某些规则,能够在配置文件/etc/suricata/disable.conf中添加,好比:url
2018959 #禁用规则号 2018959 group:dshield.rules #禁用组 dshield.rules re:heartbledd #禁用与heartblead相关的规则
可是有些带有flowbits的规则没法直接禁用,好比规则号 2018959,该规则的具体内容以下spa
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET POLICY PE EXE or DLL Windows file download HTTP"; flow:established,to_client; flowbits:isnotset,ET.http.binary; flowbits:isnotset,ET.INFO.WindowsUpdate; file_data; content:"MZ"; within:2; byte_jump:4,58,relative,little; content:"PE|00 00|"; distance:-64; within:4; flowbits:set,ET.http.binary; reference:url,doc.emergingthreats.net/bin/view/Main/2000419; classtype:policy-violation; sid:2018959; rev:3; metadata:created_at 2014_08_19, updated_at 2017_02_01;)
查询官方解决方法,要么就是该规则前面加 #号注释,可是使用suricata-update的时候会自动覆盖回来,结果很差,.net
另一种解决办法:压缩规则,官方介绍在这,code
编辑配置文件 /etc/suricata/threshold.config 加入以下内容htm
suppress gen_id 1, sig_id 2018959
相关文章
- 1. outlook2003 规则没法删除和更改的解决办法
- 2. 使用squid代理后某些网站没法访问的解决办法
- 3. 禁用Winscp链接的解决办法
- 4. android5.0没法使用HttpClient解决办法
- 5. 已禁用代理xp 解决办法
- 6. suricata规则学习记录
- 7. Github没法访问的解决办法
- 8. suricata-update用于更新和下载suricata规则
- 9. 关于某些域环境下Windows Hello没法使用的解决方法
- 10. Git忽略规则及.gitignore规则不生效的解决办法
- 更多相关文章...
- • XML 语法规则 - XML 教程
- • ASP 基本语法规则 - ASP 教程
- • C# 中 foreach 遍历的用法
- • 常用的分布式事务解决方案
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
