我正在尝试编写Snort规则以检测对snort.org的访问。第一条规则是
alert tcp [104.18.138.9,104.18.139.9] 443 -> $HOME_NET any \
(msg:"TCP packet from snort.org"; \
sid:10000000004; classtype:not-suspicious;)
工作正常。但是,当我反转方向时,什么也没发生。
alert tcp $HOME_NET any -> [104.18.138.9,104.18.139.9] 443 \
(msg:"Access to snort.org"; \
sid:1000000232; classtype:not-suspicious;)
当我访问该网站时,没有警报生成。 怎么可能出问题了?