pfSenseおよびSURICATA UDPv4の無効なチェックサム
パケットインスペクションで動作するpfSenseルーターがあります。私たちのログはこれらのリクエストでいっぱいになっています:
SURICATA UDPv4 invalid checksum
調査によると、次のことを行う必要があります。
Disable the stream-events.rules via SID Mgmt. (Yeah, I mean the whole category. Zillions of FPs.)
ただし、カテゴリリストにそのstream-events.rulesが見つかりません。
Snort関連のルールを使用して、suricataでpfSenseを実行しています。
このサイトによれば、disablesid.confこのように見えるファイル(これには追加のものがあります。必要なものを使用してください)
https://forum.pfsense.org/index.php?topic=95881.
# Messes up with DNS resolution on LAN
1:2200073 # SURICATA IPv4 invalid checksum
# Bittorrent noise, DNS
1:2200075 # SURICATA UDPv4 invalid checksum
1:2200078 # SURICATA UDPv6 invalid checksum
# Lots of useless noise
1:2200076 # SURICATA ICMPv4 invalid checksum
1:2200079 # SURICATA ICMPv6 invalid checksum
次に、対象のインターフェイスのDisable SID Fileとして設定します。
私はこれが古い投稿であることを知っていますが、真っ直ぐな答えを見つけるのに問題がありました。最近の更新では、GUIからSuricataルールを編集できます。
「サービス」タブ>「Suricata」>「インターフェース」>「アクション」列の下のインターフェースリストの鉛筆アイコンで編集>「lan(またはwan)ルール」。
変更するアラートのカテゴリを選択します。この場合、「decoder-events.rules」になります。必要に応じて、インターフェースのアラートを参照してください。 ctrl + Fを使用して、このページで変更する特定のSIDを探し、「状態」列の下のアイコンをクリックします。必ず適用してください。これが誰かを助けることを願っています!