为什么这个简单的规则不起作用
alert ftp any any -> any any (msg:"FILE PDF file claimed";
fileext:"pdf"; filestore; sid:2; rev:1;)
例如,它无法检测到由Filezela传输的任何pdf文件
答案 0 :(得分:0)
最可能的答案是动态协议检测未能将连接标识为FTP。您可能想从简单一些开始。要查看协议检测器是否将该连接视为FTP,可以尝试以下操作:
alert ftp any any -> any any
没有任何规则选项,这将在检测到FTP之后为流中的每个数据包生成警报。