我的Snort系统的性能分析结果显示包含uricontent关键字的规则的高Avg / Check值。规则2066(见下文)比所有“坏”的pcre规则更慢,尽管它很简单。
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-MISC Lotus Notes .pl script source download attempt"; flow:to_server,established; uricontent:".pl"; content:".pl"; content:"."; within:1; reference:bugtraq,6841; classtype:web-application-attack; sid:2066; rev:4;)
我通过我写的用于创建某种“基准”的perl脚本触发各种规则。为了模仿HTTP请求,有效负载通常大于基于简单content的简单规则,但基于复杂content的规则具有相似长度的有效负载似乎不那么慢。我认为uricontent通常应该比content更快。
这些结果可能是什么原因?