0

为什么这个简单的规则不起作用

alert ftp any any -> any any (msg:"FILE PDF file claimed";
fileext:"pdf"; filestore; sid:2; rev:1;)

例如,它无法检测到由 filezela 传输的任何 pdf 文件

4

1 回答 1

0

最可能的答案是动态协议检测未能将连接识别为 FTP。你可能想从更简单的开始。要查看协议检测器是否将该连接视为 FTP,您可以尝试以下操作:

 alert ftp any any -> any any

如果没有规则选项,这应该会在检测到 FTP 后为流中的每个数据包生成警报。

于 2018-09-17T12:04:06.903 回答