10.13. 绕过关键字

Suricata 提供了一个 bypass 关键字，可用于在签名中排除特定流量，使其不再进行后续检测。

bypass 关键字在预期存在大流量（例如 Netflix、Spotify、YouTube）的场景下非常有用。

bypass 关键字被视为后匹配关键字。

10.13.1. bypass

在匹配到 HTTP 流量时绕过该流。

alert http any any -> any any (http.host; content:"suricata.io"; bypass; sid:10001; rev:1;)