说我有这样的规则
提醒tcp A_IP any - > B_IP 80(msg:" test&#34 ;; sid:10000;)
这会将第一个数据包从A_IP记录到触发此规则的B_IP;我想要做的是当数据包触发规则时,规则应该记录从A_IP到B_IP和B_IP到A_IP的连续双向数据包。我怎样才能做到这一点? flowbits和tag可以做到这一点吗?感谢
答案 0 :(得分:0)
您可以使用动态规则执行此操作:
activate tcp 192.168.10.10 any -> 192.168.20.20 80 (activates:1; msg:"test", sid:10000';)
dynamic tcp 192.168.10.10 any <> 192.168.20.20 80 (activated_by:1; count:50;)
这将等待一个数据包在端口192.168.10.10上从192.168.20.20传递到80,当发生这种情况时,它将激活动态规则,该规则将双向记录下50个数据包