我想在snort中检查包含内容的关键字,但不是静态词。
我希望它是动态的,例如在ubuntu中获取此关键字表单终端。
alert tcp any any -> any any (msg:" your content found"; sid:100000; content:"something to find"; )
该代码用于静态值。
请分享您的想法。
感谢。
答案 0 :(得分:0)
我认为完成这样的事情的唯一方法是使用共享对象规则。我不相信有任何办法可以做到这一点。共享对象规则是在snort规则中实现的更难的事情之一,但它肯定可以用它做这样的事情。我建议阅读有关如何使用共享对象规则的this blog post。
答案 1 :(得分:0)
如何通过控制台接受规则的包装脚本,将其写入规则文件,然后重新加载snort?