IP的Suricata Ripple20规则导致100 M警报

Question

在最近更新了这一规则之后，我发现在Suricata发生了太多的事件：

alert ip any any -> any any (msg:"ET EXPLOIT Possible CVE-2020-11900 IP-in-IP tunnel Double-Free"; ip_proto:4; metadata: former_category EXPLOIT; reference:url,www.jsof-tech.com/ripple20/; classtype:attempted-admin; sid:2030388; rev:1; metadata:signature_severity Major, created_at 2020_06_22, performance_impact Significant, updated_at 2020_06_22;)

这很奇怪，因为它将所有数据包与IPIP协议(ip_proto:4)相匹配！此外，我还发现了卡内基梅隆大学CERT (链接)的另一条规则：

alert ip any any -> any any (msg:"VU#257161:CVE-2020-11900 IP-in-IP tunnel Double-Free https://kb.cert.org"; ip_proto:4; sid:1370257161; rev:1;)

但这里也存在同样的问题！

我想知道我的理解是否正确。为什么Suricata在过去的3天里有超过1亿次的比赛？我怎么才能修好它？

Answer 1

起初，我认为ip_proto:4将在IPv4上进行匹配，但这是不正确的。

IP协议编号4是IP中的IP，这是应该报告的规则.

因此，对于这两种规则，它都在检查所有IP通信量，而不管IP中IP通信的方向或目的地如何。

Suricata's 文档 on ip_proto.

你为什么会收到1亿次警报？因为，根据您的评论，您正在使用IP-in。所以，这一点也不奇怪。

这一条规则只适用于不使用IP的网络.Ripple20的其余规则对您来说仍然是有用的。