我是打喷嚏的新手,正在尝试打喷嚏的社区规则,下面提到了其中一个规则:
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"PROTOCOL-FTP ADMw0rm ftp login attempt";
flow:to_server,established;
content:"USER"; nocase; content:"w0rm";
distance:1; nocase; pcre:"/^USER\s+w0rm/smi";
metadata:ruleset community, service ftp;
classtype:suspicious-login; sid:144; rev:16;)
如果我删除标签flow:to_server, established...,则该规则有效。有人可以先说说为什么它不起作用的原因吗?