snort - snort 规则：记录对包含“恶意软件”一词的站点的访问

问问题 2010-03-11T03:17:58.570

3466 次

0

我正在尝试为 snort 创建一个规则，以便在用户尝试访问其中包含“恶意软件”一词的页面时基本上记录任何数据包。这就是我所拥有的，只是要求一些指导。因此，基本上，一旦网页包含该短语，它就会显示警报。

 alert tcp any any -> any any
 (content:"malware";
  msg:"Someone clone is accessing a page with malware tagged!!!!";
  aid:10000002;rev:1;)

1 回答 1

0

alert tcp any any -> any any（内容：“恶意软件”；消息：“有人克隆正在访问带有恶意软件标记的页面！！！”；援助：10000002；rev:1；）

实际工作并解决了问题

于 2010-03-19T03:21:15.620 回答