Snort安裝使用中文手冊1.6 Snort 隧道協議支持
Snort支持許多隧道協議的解碼,包括GRE,GRE上的PPTP,MPLS,IP中的IP和ERSPAN,所有這些默認情況下都是啟用的。
要禁用對任何與GRE相關的封裝,基于GRE的PPTP,基于GRE的IPv4 / IPv6和ERSPAN的支持,需要一個額外的配置選項:
$ ./configure --disable-gre要禁用對MPLS的支持,需要一個單獨的額外配置選項:
$ ./configure --disable-mpls1.6.1 多種封裝
Snort不會解碼多個封裝。諸如以下場景
Eth IPv4 GRE IPv4 GRE IPv4 TCP Payload或者
Eth IPv4 IPv6 IPv6 TCP Payload將不會被處理,并會生成解碼器警報。
1.6.2 日志記錄
當前,僅記錄包的封裝部分,例如
Eth IP1 GRE IP2 TCP Payload獲取登錄為
Eth IP2 TCP Payload和
Eth IP1 IP2 TCP Payload獲取登錄為
Eth IP2 TCP Payload注意:目前,在需要字對齊的架構(例如SPARC)上不支持利用GRE和PPP的PPTP解碼。
推薦文章: