Это вызовет предупреждение:
alert tcp any any <> any any (msg:"Test_A"; sid:3000001; rev:1;)
Это не будет:
alert tcp any any <> any any (msg:"Test_B"; content:"badurl.com"; http_header; sid:3000002; rev:1;)
Я пробовал: fast_pattern: только; метаданные: служба http; без чехла; http_заголовок; и другие. Я не могу заставить его работать на этом общем уровне. Любые идеи, почему атрибут содержимого не работает? Пакет имеет URL.
Обновлено из комментариев
0000 9c d2 4b 7d 96 60 3c 15 c2 dc 48 fa 08 00 45 00 ..K}.<. ..H...E.
0010 01 5c ac 2c 40 00 40 06 cf f5 c0 a8 c8 1e 41 fe .\.,@.@. ......A.
0020 f2 b4 dc 41 00 50 d0 e7 97 d0 ae b8 f9 ba 80 18 ...A.P.. ........
0030 ff ff da 1f 00 00 01 01 08 0a 34 03 84 d8 b7 cc ........ ..4.....
0040 3f 04 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 ?.GET / HTTP/1.1
0050 0d 0a 48 6f 73 74 3a 20 6d 79 64 6f 6d 61 69 6e ..Host: mydomain
0060 2e 63 6f 6d 0d 0a 55 73 65 72 2d 41 67 65 6e 74 .com..Us er-Agent
local.rules
. Он находится в папке/etc/nsm/rules/
. Файлы PCAP находятся на моем рабочем столе в Security Onion. Я запускаю следующую команду в терминале, которая запускается, но не выдает никаких предупреждений.sudo snort -c /etc/nsm/rules/local.rules -r /path/to/Desktop/20160701.pcap -A full -l .
- person Dann   schedule 04.07.2016http_header;
и HTTP-процессорами. - person Dann   schedule 04.07.2016http_header
вы будете сопоставлять этот контент только в том случае, если он действительно появляется в заголовке HTTP. - person David Hoelzer   schedule 16.07.2016http_header
, я не получаю предупреждений. Если я оставлю это, я получу результаты, но теперь правило очень неэффективно. - person Dann   schedule 17.07.20160000 9c d2 4b 7d 96 60 3c 15 c2 dc 48 fa 08 00 45 00 ..K}.
‹. ..ОН. 0010 01 5c ac 2c 40 00 40 06 cf f5 c0 a8 c8 1e 41 fe .\.,@.@. ......А. 0020 f2 b4 dc 41 00 50 d0 e7 97 d0 ae b8 f9 ba 80 18 ...A.P.......... 0030 ff ff da 1f 00 00 01 01 08 0a 34 03 84 d8 b7 cc ... ..... ..4..... 0040 3f 04 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 ?.GET / HTTP/1.1 0050 0d 0a 48 6f 73 74 3a 20 6d 79 64 6f 6d 61 69 6e ..Host: mydomain 0060 2e 63 6f 6d 0d 0a 55 73 65 72 2d 41 67 65 6e 74 .com..User-Agent` - person Dann   schedule 21.07.2016snort -c 20160704.rules -r 20160704.pcap -k none -A full -l .
- person Dann   schedule 22.07.2016