我想在 snort 中检查包含数据包内容的关键字,但不是静态词。
我希望它是动态的,例如在 ubuntu 中获取这个关键字形式的终端。
alert tcp any any -> any any (msg:" your content found"; sid:100000; content:"something to find"; )
该代码用于静态值。
请分享你的想法。
谢谢。
问问题
265 次
2 回答
0
我认为完成这样的事情的唯一方法是使用共享对象规则。我不相信有其他方法可以做到这一点。共享对象规则是在 snort 规则中实现的更困难的事情之一,但当然可以用它来做这样的事情。我推荐阅读这篇关于如何使用共享对象规则的博文。
于 2015-01-30T21:48:39.523 回答
0
一个通过控制台接受规则,将其写入规则文件,然后重新加载 snort 的包装脚本呢?
于 2017-04-07T07:18:00.667 回答