2.1 Snort Include關鍵字

include關鍵字允許在snort命令行中指定的snort.conf中包含其他snort配置文件。它的工作方式很像C編程語言中的#include，讀取命名文件的內容，并將內容添加到文件中include語句出現的位置。

2.1.1 格式

  include <include file path/name>

注意：請注意，此行的末尾沒有分號。

包含的文件會將任何預定義的變量值替換為它們自己的變量引用。

2.1.2 變量

Snort中可以定義三種類型的變量：

var
Portvar
ipvar

這些是用var，ipvar或 portvar關鍵字設置的簡單替換變量，如下所示：

    var RULES_PATH rules/
    portvar MY_PORTS [22,80,1024:1050]
    ipvar MY_NET [192.168.1.0/24,10.1.1.0/24]
    alert tcp any any -> $MY_NET $MY_PORTS (flags:S; msg:"SYN packet";)
    include $RULE_PATH/example.rule

2.1.2.1 IP變量和IP列表

IP可以在列表中單獨指定為CIDR塊，也可以三者任意組合。IP變量應使用“ ipvar”而不是“ var”來指定。仍允許將“ var”用于IP變量以實現向后兼容，但在以后的版本中將不建議使用。

IP變量名稱可以以字母數字字符[A-Za-z0-9]或’_’開頭，后跟字符和數字。只接受數字作為變量名。

IP，IP列表和CIDR塊可以用’！’取反。與Snort 2.7.x和更早版本相比，否定的處理方式有所不同。以前，列表中的每個元素都在邏輯上進行“或”運算。IP現在列出“或”非取反元素，并將其和“或”取反元素的結果進行相“與”。

以下示例列表將匹配IP 1.1.1.1和從2.2.2.0至2.2.2.255的IP，但IP 2.2.2.2和2.2.2.3除外。

 [1.1.1.1,2.2.2.0 / 24，！[2.2.2.2,2.2.2.3]]

列表中元素的順序無關緊要。元素“ any”可用于匹配所有IP，但不允許使用“！any”。另外，不允許使用比非否定IP范圍更通用的否定IP范圍。

有關IP變量和IP列表的一些有效示例，請參見下文。

ipvar EXAMPLE [1.1.1.1,2.2.2.0/24,![2.2.2.2,2.2.2.3]] 
alert tcp $EXAMPLE any -> any any (msg:"Example"; sid:1;)
alert tcp [1.0.0.0/8,!1.1.1.0/24] any -> any any (msg:"Example";sid:2;)

以下示例說明了IP變量和IP列表的一些無效用法。

使用！any：

ipvar EXAMPLE any
alert tcp !$EXAMPLE any -> any any (msg:"Example";sid:3;)

！any的不同用法：

  ipvar EXAMPLE !any
  alert tcp $EXAMPLE any -> any any (msg:"Example";sid:3;)

邏輯矛盾：

 ipvar EXAMPLE [1.1.1.1，！1.1.1.1]

荒謬的否定：

 ipvar EXAMPLE [1.1.1.0/24,!1.1.0.0/16]

2.1.2.2 端口變量和端口列表

端口列表支持端口的聲明和查找以及端口列表和范圍的表示。變量，范圍或列表都可以用’！’取反。另外，“ any”將指定任何端口，但不允許使用“！any”。有效端口范圍是0到65535。

端口列表必須括在方括號中，并且端口范圍可以用’：’指定，例如：

[10：50,888：900]

端口變量應使用“ portvar”指定。在以后的版本中，將不建議使用’var’聲明端口變量。為了向后兼容，只要變量名以“ _PORT”結尾或以“ PORT_”開頭，仍然可以使用“ var”聲明端口變量。

以下示例演示了端口變量和端口列表的幾種有效用法。

   portvar EXAMPLE1 80

    var EXAMPLE2_PORT [80:90]

    var PORT_EXAMPLE2 [1]

    portvar EXAMPLE3 any

    portvar EXAMPLE4 [!70:90]

    portvar EXAMPLE5 [80,91:95,100:200]

    alert tcp any $EXAMPLE1 -> any $EXAMPLE2_PORT (msg:"Example"; sid:1;)

    alert tcp any $PORT_EXAMPLE2 -> any any (msg:"Example"; sid:2;)

    alert tcp any 90 -> any [100:1000,9999:20000] (msg:"Example"; sid:3;)

下面顯示了端口變量和端口列表的幾個無效示例：

使用！any：

      portvar EXAMPLE5！any var EXAMPLE5！any

邏輯矛盾：

  portvar EXAMPLE6 [80，！80]

端口超出范圍：

 portvar EXAMPLE7 [65536]

不正確的聲明和使用端口變量：

    var EXAMPLE8 80 
    alert tcp any $EXAMPLE8 -> any any (msg:"Example"; sid:4;)

用作IP的端口變量：

alert tcp $EXAMPLE1 any -> any any (msg:"Example"; sid:5;)

2.1.2.3 變量修飾符

規則變量名稱可以通過多種方式進行修改。您可以使用$運算符定義元變量。這些可以與變量修飾符運算符？ 和-一起使用，如下表所述：

可變語法	描述
`var`	定義一個元變量。
`$（var）or $ var`	用變量`var`的內容替換。
`$（var：-default）`	如果 `var`是不確定的,用”default”替換變量`var`的內容。
`$（var：？message）`	用變量`var`的內容替換或打印出錯誤消息并退出。

這是實際使用高級變量的示例：

    ipvar MY_NET 192.168.1.0/24
    log tcp any any -> $(MY_NET:?MY_NET is undefined!) 23

2.1.2.4 局限性

嵌入變量時，不能混用類型。例如，可以使用其他端口變量來定義端口變量，但是不能將舊式變量（帶有’var’關鍵字）嵌入到’portvar’中。

有效的嵌入式變量：

 portvar pvar1 80 portvar pvar2 [$ pvar1,90]

無效的嵌入變量：

 var pvar1 80 portvar pvar2 [$ pvar1,90]

同樣，如果變量先前已定義為其他類型，則無法重新定義。應該將它們重命名：

無效的重新定義：

 var pvar 80 portvar pvar 90

2.1.3 配置

可以在配置文件中指定許多Snort的配置和命令行選項。

2.1.3.1 格式

 config <directive> [：<value>]

配置指令	描述
`config alert_with_interface_name`	將接口名稱附加到警報（`snort -I`）。
`config alertfile: <filename>`	設置警報輸出文件。
`config asn1: <max-nodes>`	指定進行ASN1解碼時要跟蹤的最大節點數。
`configautogenerate_preprocessor _decoder_rules`	如果將Snort配置為啟用解碼器和預處理程序規則，則此選項將使Snort還原為解碼器或預處理程序生成事件時發出警報的原始行為。
`config bpf_file：<filename>`	指定BPF過濾器（`snort -F`）。
`config checksum_drop：<types>`	如果校驗和無效，則丟棄的數據包類型。值：`none`，`noip`，`notcp`， `noicmp`，`noudp`，`ip`，`tcp`，`udp`， `icmp`或`all`（僅適用于內聯模式，并且適用于按`checksum_mode` config選項檢查的數據包）。
`config checksum_mode：<types>`	計算校驗和的數據包類型。值：`none`，`noip`，`notcp`，`noicmp`， `noudp`，`ip`，`tcp`，`udp`，`icmp`或 `all`。
`config chroot：<dir>`	將根目錄更改為指定的目錄（`snort -t`）。
`config classification：<class>`	請查看分類列表
`config cs_dir：<path>`	配置snort以在路徑中提供Unix套接字，該套接字可用于向正在運行的進程發出命令。
`config daemon`	作為守護程序的forks（`snort -D`）。
`config decode_data_link`	解碼Layer2標頭（`snort -e`）。
`config default_rule_state：<state>`	全局配置指令，用于啟用或禁用將規則加載到檢測引擎中。默認（帶或不帶指令）已啟用。指定`禁用`以禁用加載規則。
`config daq：<type>`	選擇要實例化的DAQ類型。如果存在多個相同類型的DAQ，則選擇具有給定類型的最高版本的DAQ（包括任何內置的DAQ）。
`config daq_mode：<mode>`	選擇DAQ模式：被動，內聯或讀取文件。并非所有的DAQ支持模式。有關可能的DAQ模式，請參見DAQ發行版README；有關簡要概述，請參見DAQ功能。
`config daq_var：<name=value>`	設置DAQ特定變量。Snort只是將此信息傳遞給DAQ。有關可能的DAQ變量，請參見DAQ發行版README。
`config daq_dir：<dir>`	告訴Snort在哪里尋找可用的動態DAQ模塊。這可以重復。所選的DAQ將是最新版本的DAQ。
`config daq_list：[<dir>]`	告訴Snort轉儲基本的DAQ功能并退出。您可以選擇指定目錄以包含該目錄中的任何動態DAQ。您還可以在此選項之前加上額外的DAQ目錄選項，以查看多個目錄。
`config encode_esp：[enable/ disable]`	啟用或禁用封裝安全協議（ESP）的解碼。默認情況下禁用。一些網絡使用ESP進行身份驗證而不進行加密，從而可以檢查其內容。如果啟用此選項，則加密的ESP可能會導致誤報。
`config detection: [search-method <method>]`	選擇要使用的快速模式匹配器算法的類型。- `搜索方法<方法>`:1. 排隊的匹配搜索方法-對匹配進行排隊，直到快速模式匹配器完成有效負載，然后進行評估。發現這通常通過減少較少的高速緩存未命中來提高性能（評估每個規則通常會破壞高速緩存中的快速模式匹配器狀態）。(1) `ac`和`ac-q` -Aho-Corasick Full（高內存，最佳性能）。(2) `ac-bnfa`和`ac-bnfa-q` -Aho-Corasick二進制NFA（低內存，高性能)。 (3) `lowmem`和`lowmem-q-`低內存關鍵字Trie（低內存，中等性能）(4) `ac-` split-具有ANY-ANY端口組的Aho-Corasick Full（單獨評估）（低內存，高性能）。請注意，這是`搜索方法ac，split-any-any`的簡寫 (5) `intel-cpm` -Intel CPM庫（必須已編譯帶有庫位置的Snort才能啟用此功能）2.無隊列搜索方法-“ nq”選項指定匹配項不應在找到后進行排隊和評估。(1) `ac-nq` -Aho-Corasick Full（高內存，最佳性能）。(2) `ac-bnfa-nq` -Aho-Corasick二進制NFA（低內存，高性能）。如果未指定，則這是默認的搜索方法。(3) `lowmem-nq-`內存不足關鍵字Trie（內存不足，性能中等） 3. 其他搜索方法（以上方法被認為是優越的） (1) `ac-std` -Aho-Corasick標準（高內存，高性能） (2)`ACS` -Aho-Corasick稀疏（高內存，中等性能）(3) `ac-banded` -Aho-Corasick Banded（高內存，中等性能）(4) `ac-sparsebands` -Aho-Corasick Sparse-Banded（高內存，中等性能）
`config detection: [split-any-any] [search-optimize] [max-pattern-len <int>]`	其他影響快速模式匹配的選項。1.`split-any-any` （1）內存/性能的折衷。默認情況下，將ANY-ANY端口規則添加到每個非ANY-ANY端口組，以便每個數據包僅需要執行一個端口組規則評估。如果存在許多ANY-ANY端口規則，則不將ANY-ANY端口規則組放到其他每個端口組中都可以大大減少快速模式匹配器的內存占用。但是，這樣做可能需要每個數據包進行兩個端口組評估-一個評估用于特定端口組，另一個評估于ANY-ANY端口組，因此可能會降低性能。此選項是通用選項，可以與任何`搜索方法`一起使用，但專門用于`ac-搜索方法`，該`方法`可以顯著減少內存占用，盡管總體快速模式性能優于`ac-bnfa`。值得注意的是，較低的內存占用空間還可以通過減少高速緩存未命中次數來提高性能。默認為不拆分ANY-ANY端口組。2. `search-optimize` （1）通過根據狀態總數動態確定狀態的大小，與`搜索方法-ac`或`ac-split`一起使用時，可以優化快速模式存儲。與`ac-bnfa`一起使用時，將嘗試某些故障狀態解決方案，從而可能提高性能。默認為不優化。3. `max-pattern-len <integer>` （1）這是一種內存優化，用于指定將放入快速模式匹配器中的模式的最大長度。長度大于此長度的模式將被截短至該長度，然后再插入模式匹配器。當使用的內容非常長且截斷模式不會降低模式的唯一性時，此選項很有用。請注意，這可能會導致更多錯誤的肯定規則評估，即由于匹配了快速模式而將要評估的規則，但最終失敗，但是CPU緩存可能會影響性能，因此快速模式匹配器的較小內存占用量可能會增加性能。默認為不設置最大圖案長度。
`config detection: [no_stream_inserts] [max_queue_events <int>] [enable-single-rule-group] [bleedover-port-limit]`	其他檢測引擎選項。1. `no_stream_inserts`（1）指定不應針對檢測引擎評估流插入的數據包。這是一種潛在的性能改進，其思想是：流重建的數據包將在插入的數據包中包含有效負載，因此不需要評估流插入的數據包。默認為檢查流插入。2.`max_queue_events <integer>`（1）指定每個數據包要排隊的匹配快速模式狀態的最大數量。默認值為5個事件。3.`enable-single-rule-group`（1）將所有規則放入一個端口組。不建議。默認是不這樣做。3. `bleedover-port-limit` （1）規則之前在規則中指定的最大源端口或目標端口被視為ANY-ANY端口組規則。默認值為1024。
`config detection: [debug] [debug-print-nocontent-rule-tests] [debug-print-rule-group-build-details] [debug-print-rule-groups-uncompiled] [debug-print-rule-groups-compiled] [debug-print-fast-pattern] [bleedover-warnings-enabled]`	檢測引擎調試的選項。1.`debug` - 打印特定端口組的快速模式信息。2. `debug-print-nocontent-rule-tests` - 在數據包評估期間打印端口組信息。3. `debug-print-rule-group-build-details` - 在端口組編譯期間打印端口組信息。4. `debug-print-rule-groups-uncompiled` - 打印未編譯的端口組信息。5. `debug-print-rule-groups-uncompiled` - 打印已編譯的端口組信息。6. `debug-print-fast-pattern` - 對于具有快速模式內容的每個規則，打印有關用于快速模式匹配器的內容的信息。7. `bleedover-warnings-enabled` - 如果規則中使用的源端口或目標端口的數量超過`bleedover-port-limit`，則將顯示強制將規則移至ANY-ANY端口組的警告。
`config disable_decode_alerts`	關閉由Snort的解碼階段生成的警報。
`config disable_inline_init_failopen`	禁用在Snort啟動時允許內聯流量通過的failopen線程。僅在使用-enable-inline-init-failopen配置了Snort時有用。（`snort -disable-inline-init-failopen`）
`config disable_ipopt_alerts`	禁用IP選項長度驗證警報。
`config disable_tcpopt_alerts`	禁用選項長度驗證警報。
`config disable_tcpopt_experimental_alerts`	關閉實驗性TCP選項生成的警報。
`config disable_tcpopt_obsolete_alerts`	關閉由過時的TCP選項生成的警報。
`config disable_tcpopt_ttcp_alerts`	關閉由T / TCP選項生成的警報。
`config disable_ttcp_alerts`	關閉由T / TCP選項生成的警報。
`config dump_chars_only`	打開字符轉儲（`snort -C`）。
`config dump_payload`	轉儲應用程序層（`snort -d`）。
`config dump_payload_verbose`	從鏈接層（`snort -X`）開始轉儲原始數據包。
`config enable_decode_drops`	啟用丟棄解碼器標識的不良數據包（僅適用于串聯模式）。
`config enable_decode_oversized_alerts`	對具有包含長度字段的報頭的數據包啟用警報，該字段的值大于數據包的長度。
`config enable_decode_oversized_drops`	啟用具有標題包含長度字段的報頭的丟棄數據包，該字段的值大于數據包的長度。必須啟用`enable_decode_oversized_alerts`才能使其生效（僅適用于內聯模式）。
`config enable_deep_teredo_inspection`	Snort的數據包解碼器僅解碼UDP端口3544上的Teredo（基于IPv4的UDP上的IPv6）流量。此選項使Snort解碼所有UDP端口上的Teredo流量。
`config enable_ipopt_drops`	使用錯誤/截斷的IP選項啟用丟棄錯誤的數據包（僅適用于串聯模式）。
`config enable_mpls_multicast`	啟用對MPLS多播的支持。當網絡允許MPLS多播流量時，需要此選項。禁用此選項并檢測到MPLS多播流量時，Snort將生成警報。默認情況下，它是關閉的。
`config enable_mpls_overlapping_ip`	啟用對MPLS網絡中重疊IP地址的支持。在正常情況下，沒有重疊的IP地址，則不應打開此配置選項。但是，在某些情況下，兩個專用網絡共享相同的IP空間，并且使用不同的MPLS標簽來區分來自兩個VPN的流量。在這種情況下，應打開此配置選項。默認情況下，它是關閉的。
`config enable_tcpopt_drops`	使用錯誤/截斷的TCP選項啟用丟棄錯誤的數據包（僅適用于內聯模式）。
`config enable_tcpopt_experimental_drops`	使用實驗性TCP選項啟用丟棄不良數據包的功能。（僅適用于內聯模式）。
`config enable_tcpopt_obsolete_drops`	使用過時的TCP選項啟用丟棄錯誤的數據包。（僅適用于內聯模式）。
`config enable_tcpopt_ttcp_drops`	使用T / TCP選項啟用丟棄錯誤的數據包。（僅適用于內聯模式）。
`config enable_ttcp_drops`	使用T / TCP選項啟用丟棄錯誤的數據包。（僅適用于內聯模式）。
`config event_filter：memcap <bytes>`	以字節為單位設置全局memcap以進行閾值設置。默認值為1048576字節（1兆字節）。
`config event_queue：[max_queue<num>] [log<num>] [order_events <order>]`	指定有關Snort事件隊列的條件。您可以使用以下選項：1.`max_queue< integer>`（支持的最大事件數）2.`日志<integer>`（要記錄的事件數）3. `order_events [priority$\vert$content_length]`（如何在隊列中訂購事件）
`config flowbits_size：<num-bits>`	指定規則集中可使用的最大流位標記數。默認值為1024位，最大值為2048。
`config ignore_ports：<proto> <port-list>`	指定要忽略的端口（用于忽略嘈雜的NFS流量）。指定協議（TCP，UDP，IP或ICMP），然后指定端口列表。支持端口范圍。
`config interface：<iface>`	設置網絡接口（`snort -i`）。
`config ipv6_frag：[bsd_icmp_frag_alert on/ off] [，bad_ipv6_frag_alert on/ off] [，frag_timeout <secs>] [，max_frag_sessions <max-track>]`	可以使用以下選項：1.`bsd_icmp_frag_alert on / off`（指定是否警報。默認為打開）2. `bad_ipv6_frag_alert on /off`（指定是否警報。默認為打開）3. `frag_timeout $<$integer$>$`（以秒為單位指定使哈希表中的第一個碎片超時的時間） 4.`max_frag_sessions $<$integer$>$`（指定要在哈希表中跟蹤的片段數）
`config logdir：<dir>`	設置日志目錄（`snort -l`）。
`config log_ipv6_extra_data`	將“ Snort”設置為將IPv6源地址和目標地址記錄為Unified2額外數據事件。
`config max_attribute_hosts：<hosts>`	設置對要從屬性表讀取的最大主機數的限制。最小值為32，最大值為524288（512k）。缺省值為10000。如果屬性表中的主機數超過此值，則會記錄錯誤，并忽略其余的主機。只有主機屬性表支持此選項
`config max_attribute_services_per_host：<hosts>`	設置每個主機從屬性表中讀取的最大服務限制。最小值為1，最大值為65535。默認值為100。對于給定的主機，如果屬性表中的服務數量超過此值，則會記錄錯誤，并忽略該主機的其余服務。只有主機屬性表支持此選項。
`config max_mpls_labelchain_len：<num-hdrs>`	設置數據包可以具有的MPLS標頭數量的Snort級限制。其默認值為-1，這意味著標簽鏈長度沒有限制。
`config max_ip6_extensions：<num-extensions>`	設置Snort將解碼的IPv6擴展頭的最大數量。默認值為8。
`config min_ttl：<ttl>`	設置Snort范圍內的最小ttl以忽略所有流量。
`config mpls_payload_type：ipv4/ipv6 /ethernet`	設置Snort級的MPLS有效負載類型。除ipv4外，ipv6和以太網也是有效的選項。缺省MPLS有效負載類型為ipv4
`config no_promisc`	禁用混雜模式（`snort -p`）。
`config nolog`	禁用日志記錄。注意：警報仍然會發生。（`snort -N`）。
`config nopcre`	禁用pcre模式匹配。
`config obfuscate`	混淆IP地址（`snort -O`）。
`config order：<order>`	更改規則評估的順序，例如：通過警報日志激活。
`config pcre_match_limit：<integer>`	限制回溯給定PCRE選項的數量。例如，它將限制模式中嵌套重復的數量。值-1允許無限制的PCRE，最高可達PCRE庫編譯限制（約1000萬）。值為0表示不進行PCRE評估。snort的默認值為1500。
`config pcre_match_limit_recursion:<integer>`	限制給定PCRE選項使用的堆棧數量。值-1允許無限制的PCRE，最高可達PCRE庫編譯限制（約1000萬）。值為0表示不進行PCRE評估。snort的默認值為1500。僅當該值小于`pcre_match_limit`時，此選項才有用
`config pkt_count：<N>`	在N個數據包之后退出（`snort -n`）。
`config policy_version: $<$base-version-string$>$ [$<$binding-version-string$>$]`	將版本信息提供給配置文件。所有配置文件（包括隨附的配置文件）中的基本版本均應為字符串。此外，綁定版本必須位于任何使用`config binding`配置的文件中。此選項用于避免在短時間內修改和加載配置時出現競爭情況-在Snort有機會加載之前的配置之前。
`config profile_preprocs`	打印有關預處理器性能的統計信息。
`config profile_rules`	打印有關規則性能的統計信息。
`config protected_content：md5/sha256/sha512`	指定用于protected_content規則的默認算法。
`config quiet`	禁用banner和狀態報告（`snort -q`）。注意：命令行開關`-q`在處理命令行參數后立即生效，而在snort.conf中使用`config quiet`則在解析snort.conf中的配置行時生效。在其他配置設置導致輸出到控制臺或syslog之后，可能會發生這種情況。
`config reference：<ref>`	向Snort添加新的參考系統，例如：`myref http://myurl.com/?id=`
`config reference_net <cidr>`	對于IP混淆，如果數據包在參考網絡中包含IP地址，則將使用混淆后的網絡。還用于確定如何為會話后檢測規則選項和ASCII輸出插件設置日志目錄結構——嘗試以不在參考網絡中的IP地址命名日志目錄。
`config response：[attempts<count>] [，device<dev>]`	設置每個注入的響應和/或從中發送響應的設備（例如eth0）的嘗試嘗試次數。這些選項可以按任何順序出現，但必須用逗號分隔。適用于被動模式。
`config set_gid：<gid>`	將GID更改為指定的GID（`snort -g`）。
`config set_uid：<uid>`	將UID設置為< id >（`snort -u`）。
`config show_year`	以時間戳顯示年份（`snort -y`）。
`config snaplen：<bytes>`	設置數據包的快照長度，與`-P <snaplen>`或`-snaplen <snaplen>`選項具有相同的效果。
`config so_rule_memcap：<bytes>`	為字節設置全局memcap，以便規則動態分配內存以將會話數據存儲在流預處理器中。值為0將禁用memcap。默認值為0。最大值是一個無符號的32位整數可以容納的最大值，即4294967295或4GB。
`config stateful`	設置流的保證模式（已建立流）。
`configagged_packet_limit：<max-tag>`	當規則的標記選項中使用了除數據包以外的其他度量標準時，此選項將設置要標記的最大數據包數，而不考慮其他度量標準定義的數量。
`config threshold：memcap <bytes>`	以字節為單位設置全局memcap以進行閾值設置。默認值為1048576字節（1兆字節）。（不建議使用。請改用config event_filter。）
`config umask：<umask>`	在運行時設置umask（`snort -m`）。
`config utc`	使用UTC代替本地時間作為時間戳（`snort -U`）。
`config verbose`	使用詳細日志記錄到STDOUT（`snort -v`）。
`config vlan_agnostic`	導致Snort出于連接和碎片跟蹤的目的而忽略vlan標頭。當使用多個配置時，此選項僅在基本配置中有效，默認為關閉。
`config address_space_agnostic`	導致Snort出于連接和碎片跟蹤的目的而忽略DAQ地址空間ID。當使用多個配置時，此選項僅在基本配置中有效，默認為關閉。
`config policy_mode：tap/inline /inline_test`	將策略模式設置為`被動`，`內聯`或`inline_test`。
`config disable_replace`	禁用內容替換選項。默認行為是替換內容。
`config tunnel_verdicts：gtp /teredo /6in4 /4in6`	默認情況下，Snort在內部處理GTP，Teredo，6in4和4in6封裝流量的白名單和黑名單判決。這意味著Snort實際上會給DAQ通過或否決的決定。這是解決方法，在這種情況下，DAQ會將判決應用于整個隧道，而不是應用于隧道內的單個會話。如果您的DAQ正確解碼了GTP，Teredo，6in4或4in6，則設置此配置將允許白名單或黑名單判決進入DAQ。這樣做可能會適度提高性能，因為Snort不會在會話中看到剩余的數據包。

本文章首發在網安wangan.com 網站上。