0

我正在尝试向 Suricata 添加一条新规则,以将任何 PDF 文件传输存储在网络中。我尝试通过两条规则来实现

alert http any any -> any any (msg:"FILE pdf detected"; filemagic:"PDF document"; filestore; sid:3; rev:1;)

alert ftp any any -> any any (msg:"FILE pdf detected"; filemagic:"PDF document"; filestore; sid:4; rev:1;)

第二条规则总是给我错误作为配置错误。

当我只尝试第一个并尝试从 http 页面下载任何 pdf 文件时,不会报告任何警报

我在这里想念的

4

1 回答 1

0

是...

file-store:
    enable: yes

...在您的 suricata.yaml 中设置?

您还应该检查您的特定版本的 filemagic 返回 PDF 文件的内容。不幸的是,filemagic 规则似乎需要完全匹配。

file file.pdf
于 2019-01-19T06:06:00.547 回答