Snort规则无法提醒日志

Question

我正在为以下漏洞利用编写自定义规则：http://www.exploit-db.com/exploits/36100/

我已经运行了漏洞利用程序，我正在编写规则的数据包可以在这里看到：http://txt.do/cxgb

这是我正在使用的当前规则：

alert tcp any any -> any any (msg:"X360 VideoPlayer ActiveX Control Buffer Overflow"; flow:to_server,established; content:"\x64\xa1\x18\x00\x00\x00\x83\xc0\x08\x8b\x20\x81\xc4\x30\xf8\xff\xff"; fast_pattern; http_client_body; metadata: service http; sid:1000007; rev:1;)  

但是，Snort没有对此发出警报。谁能明白为什么？提前谢谢。

Answer 1

正如您在评论中提到的，由于您没有指定snort端口，因此不会将流量视为http，因此不会填充http缓冲区。由于这种情况，您需要删除http内容修饰符，因为它永远不会匹配。取出＆＃34; http_client_body＆＃34;。

要匹配文字字符\你需要用\来转义\例如＆＃34; \\ x64＆＃34;

此外，此内容将从服务器传送到客户端（它为http页面提供服务）。您需要将流程更改为＆＃34; flow：to_client，已建立＆＃34;