He construido dos reglas simples
alert tcp any any -> any any (msg: "tcp detected"; sid: 2; rev: 1;)
alert udp any any -> any any (msg: "udp detected"; sid: 1; rev: 1;)
Luego, desde la misma máquina hago un nmap
nmap -sU myipaddress
El problema es que recibo alertas del resto del tráfico, pero para el nmap no recibo ninguna alerta. ¿Suricata tiene una regla para ignorar el tipo de tráfico que destino ip = origin ip?
Comprueba que estás olfateando la interfaz correcta. el tráfico de nmap puede ir en loopback uno (usando información de enrutamiento) y usted puede oler el iface externo.
Si la interfaz es correcta y está utilizando la captura de pcap, es posible que desee agregar la opción '-k none' para evitar el problema relacionado con la descarga de suma de comprobación. Las alertas que faltan a menudo vienen porque Suricata ignorará los paquetes con una suma de comprobación no válida. Y la descarga de suma de comprobación en la tarjeta causará que los paquetes emitidos localmente. Por lo tanto, cuando utilice el tráfico local para probar el tráfico, debe encargarse de eso. La solución es utilizar un método de captura moderno como af_packet o pasar '-k none' para detener la validación de la suma de comprobación.
Lea otras preguntas en las etiquetas snort