尝试编写一条规则来检测进入网络的电子邮件流量:
发送到特定域(例如,gmail.com)
是.xls文件
具有名称长度最多为75个字节的文件名
是电子邮件附件,此附件是已知且永不更改的特定尺寸(例如,附件大小为100000字节)
请注意其他人,我是snort的初学者。在那之前,我到目前为止只管理了这个:
content:"|05|gmail|03|com|00|"; nocase; pcre:"/([a-zA-Z0-9] {1,75}\.xls)";
不确定如何在那里获取文件大小附件检测,或者即使用于检测文件名和类型的pcre位是正确的。任何帮助表示赞赏。
答案 0 :(得分:1)
我从未使用过snort,但是根据我在文档中收集到的信息,您的模式似乎可以这样编写:
如果文件名中只允许使用字母和数字:
pcre:"/\/[a-zA-Z0-9]{1,75}\.xls$/"
否则(允许文件名的任何类型的字符):
pcre:"/\/[^\/]{1,75}\.xls$/"
请注意,根据文档中的示例,模式需要包含在分隔符(此处为斜杠)之间。结果,所有字面斜杠都必须在模式中转义。