snort怎么让arp协议合法

Snort可以通过以下方式让ARP协议合法：

1. 在Snort的rules文件中添加针对ARP协议的规则，以允许合法的ARP请求和响应通过。例如：

alert arp any any -> any any (msg:"Valid ARP packet";)

2. 在Snort的配置文件中启用ARP检测，以允许Snort监控和检测ARP请求和响应。例如：

preprocessor arpspoof_detect

通过以上两个方法，可以让Snort检测并允许合法的ARP通信，同时检测并拦截不合法的ARP请求和响应。

相关问题

snort只报警ARP协议的命令

我理解您的问题是关于Snort仅报警ARP协议上的命令的问题。Snort默认情况下会监视并报告所有协议的活动，但是可以通过使用规则来限制其监视和报告活动。要限制ARP协议上的命令报告，请在Snort规则中使用相应的字词过滤器。例如，使用以下规则将仅报告ARP协议上的PING命令：

alert arp any any -> any any (msg:"ARP ping detected";)

这将在ARP协议上报告任何PING命令，而忽略其他协议的活动。希望这能回答您的问题。

编写一条规则，让snort检测arp攻击

可以添加如下Snort规则来检测ARP攻击：

alert arp any any -> any any (msg:"ARP Spoofing Detected"; arp.opcode == 2; arp.dst.protoaddr != arp.src.protoaddr;)

该规则表示如果收到一个ARP响应（opcode为2）并且目标和源地址不一致，则发出警报，以便识别ARP欺骗攻击。