3

尝试编写一个规则来检测进入网络的电子邮件流量:

  1. 发送到特定域(例如,gmail.com)

  2. 是一个 .xls 文件

  3. 文件名的名称长度最长可达 75 个字节

  4. 是一个电子邮件附件,并且这个附件是一个已知的并且永远不会改变的特定大小(例如,附件大小为 100000 字节)

请注意其他人,我是 snort 的初学者。顺便说一句,我到目前为止只处理了这个:

content:"|05|gmail|03|com|00|"; nocase; pcre:"/([a-zA-Z0-9] {1,75}\.xls)";

不确定如何在其中获取文件大小附件检测,或者即使用于检测文件名和类型的 pcre 位是否正确。任何帮助表示赞赏。

4

1 回答 1

1

我从未使用过 snort,但从我在文档中收集的信息来看,您的模式似乎可以这样写:

  • 如果文件名中只允许使用字母和数字:

    pcre:"/\/[a-zA-Z0-9]{1,75}\.xls$/"

  • 否则(允许文件名使用任何类型的字符)

    pcre:"/\/[^\/]{1,75}\.xls$/"

请注意,根据文档中的示例,模式需要包含在分隔符之间(此处为斜线)。结果,所有文字斜杠必须在模式中进行转义。

于 2014-07-05T22:38:52.683 回答