我正在尝试创建一个简单的规则,以在HTTP正文中的前两个字符“ MZ”发出警报。
我当前的规则是:
alert tcp any any -> any any (msg:"Test"; content:"MZ"; depth: 2; http_client_body; sid:51; rev:1;)
但是,尽管HTTP正文中肯定存在“ MZ”,但仍未找到任何结果。
非常感谢您的帮助。
答案 0 :(得分:1)
在从其他一些渠道寻求帮助之后,事实证明我是在要求snort在错误的地方看
正确的规则如下:
alert tcp any any -> any any (msg:"Test"; file_data; content:"MZ"; depth: 2; sid:51; rev:1;)
该规则需要在内容字符串之前http_client_body 之前,而不是内容字符串之后的file_data。
http_client_body =请求正文
file_data =响应正文*
(*比这复杂得多,但这足以解释这种情况。请参阅Snort文档以获取更多参考)