我第一次使用Snort,我对在下载的pcap文件中使用Snort local.rules感到很困惑。
我创建了以下规则,以为所有TCP流量显示一条消息:
alert tcp any any -> 80 (msg:"Web traffic"; content: "login"; sid:100)
我也有以下规则来基本上显示任何IP数据包:
alert ip any any -> any any (msg: "IP Packet detected";)
但是,当我通过输入以下内容对我的pcap文件运行Snort时:
snort -r attack-trace.pcap
我在那里没有收到任何警报消息。下图显示了我所看到的:
有人可以看到我要去哪里吗?
谢谢!
