1.8 隧道协议支持

Snort支持解析多种隧道协议，包括GRE、PPTP over GRE，MPLS，IP in IP和ERSPAN,所有这些协议在默认情况下是开启的。 如果要关闭任何一种GRE相关的加密协议，请如下配置：

./configure --disable-gre

如果要关掉MPLS协议，需要增加一个配项

./configure --disable-mpls

1.8.1 多重封装

Snort不支持多重封装解析。例如下列情形：

Eth IPv4 GRE IPv4 GRE IPv4 TCP Payload

或者：

Eth IPv4 IPv6 IPv4 TCP Payload

这些包不会被处理，并且会产生一个解析报警

1.8.2 日志

当前仅仅记录加密部分，例如：

Eth IP1 GRE IP2 TCP Payload

日志格式为：

Eth  IP2  TCP Payload

而：

Eth IP1 IP2 TCP Payload

日志格式为：

Eth IP2 TCP Payload

注：解析PPIP等利用GRE和PPP协议的隧道数据时，在一些要求字节对齐的平台上是不支持的。比如SPARC架构