tkrabec Asked: 2014-01-31 06:44:00 +0800 CST2014-01-31 06:44:00 +0800 CST 2014-01-31 06:44:00 +0800 CST 如何设置 Securityonion/snort 不捕获某些数据包? 772 在通过安全洋葱查看我的 pcaps 后,我想过滤掉一个主机(我们称之为 192.168.4.4)并过滤掉一些流量(端口 80 和 443),当前的项目是查看其他与网络无关的流量。 运行 tcpdump/windump 我可以简单地做到这一点 tcpdump -w notwww.pcap not 192.168.4.4 not port 80 not port 443 但我找不到将其放入配置的文档或位置。 linux-networking 2 个回答 Voted DaffyDuc 2014-01-31T07:17:32+08:002014-01-31T07:17:32+08:00 我对你的问题有点困惑。当我使用 scheuled TCPDUMP 时,我总是从 cronjob 中调用它。我不相信有一个配置文件来应用过滤器。 另外,我相信您在上述声明中缺少 AND 子句。 我相信你的陈述应该更像这样: tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap 您还可以使用 OR 子句来简化您的语句 tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap 希望这可以帮助。 Best Answer tkrabec 2014-01-31T10:06:06+08:002014-01-31T10:06:06+08:00 这是通过 bpf Berkley Packet Filter 完成的。 配置位于您的/etc/nsm/$sensorname/bpf.conf 我还没有找到一个非常好的资源如何编写它们,但对于我的要求,这有效 ! host 192.168.4.4 && ! port 80 && ! port 443
我对你的问题有点困惑。当我使用 scheuled TCPDUMP 时,我总是从 cronjob 中调用它。我不相信有一个配置文件来应用过滤器。
另外,我相信您在上述声明中缺少 AND 子句。
我相信你的陈述应该更像这样:
您还可以使用 OR 子句来简化您的语句
希望这可以帮助。
这是通过 bpf Berkley Packet Filter 完成的。
配置位于您的/etc/nsm/$sensorname/bpf.conf 我还没有找到一个非常好的资源如何编写它们,但对于我的要求,这有效