我正在尝试创建一个snort规则,以便在用户尝试访问其中包含“恶意软件”一词的页面时基本上记录任何数据包。这就是我所拥有的,只是要求一些指导。所以基本上一旦网页包含它显示警报的短语。
alert tcp any any -> any any
(content:"malware";
msg:"Someone clone is accessing a page with malware tagged!!!!";
aid:10000002;rev:1;)
答案 0 :(得分:0)
任何警告tcp任何 - > any any(内容:“恶意软件”; msg:“有人克隆正在访问带有恶意软件标记的页面!!!!”;援助:10000002; rev:1;)
实际工作,问题解决了