我有以下两条规则
alert tcp any any -> 192.168.2.105 80 (msg:"test-tag"; sid:10000;flow:from_client;flowbits:set,http;tag:session,exclusive;)
alert tcp 192.168.2.105 80 -> any any (msg:"test-triggered";sid:10001;flowbits:isset,http;tag:session,exclusive;)
然后我在另一台机器上使用curl向192.168.2.105:80发送请求,我可以看到触发了第一个警报规则;但第二个警报规则没有被触发,我不知道为什么。有人可以帮我这个吗?感谢。
答案 0 :(得分:0)
通信流程来自任何端口的任何IP到192.168.2.105端口80.第二个规则指定从192.168.2.105 80到任何具有任何端口的IP的流。
如果您更改了 - >到<>在这两个规则中,它们都应该触发警报。