0

情况:我已经设置了一个 Zeek/Bro IDS 并让它在一个接口上侦听(使用 iptables 转发流量。

client1 === iptables === client2
               ||
            zeek_ids

问题:Zeek 被 127.0.0.1/8 流量触发,我找不到任何材料来帮助我忽略 Google 上的这些流量。

问题:不仅限于 127.0.0.0/8 流量,我如何配置 Zeek 使其能够忽略来自某些子网的流量?

附加信息1:我试图添加子网(127.0.0.0/8)$ZEEK_PREFIX/etc/networks.cfg,但它什么也没做

4

1 回答 1

1

你有几个选项,都使用 BPF 过滤器来排除特定的子网范围。你可以:

  • 调用 Zeek-f以传入这样的过滤器,
  • capture_filters在脚本层的表中添加条目,
  • 使用PacketFilter模块的更高级功能。

在您的情况下可能使用的 BPF 过滤器是not net 127.0.0.0/8.

于 2020-04-01T22:54:57.070 回答