标签: snort
我一直在寻找一段时间,以便在配置IDS / IPS等安全设备时找出有效负载分析的典型/最小尺寸。
我知道可以在SNORT规则中配置Offset和Depth参数。排序语音:配置了1字节偏移量和7字节深度的SNORT规则将分析1-7字节有效负载+标头大小的传入数据包。
我知道深度参数值在1-65535之间变化,但我想知道准确流量分析的最小字节大小。
例如,如果我收到大约700字节大小的meterpreter有效负载,是否需要扫描整个数据包才能发出警报?
提前致谢。