时间戳

首页 > 解决方案 > 为什么在这个 snort 规则中缺少 '.' 的 EOF

http - 为什么在这个 snort 规则中缺少 '.' 的 EOF

问题描述

我有一个想在 IDS 中导入的 snort 规则。

alert tcp any any -> any any (msg:"FOX-IT - Trojan - Possible CobaltStrike C2 Server";
  flow:to_client;
  content:"HTTP/1.1 200 OK |0d0a|"; fast_pattern; depth:18;
  content:"Date: ";
  pcre:"/^HTTP/1.1 200 OK \r\nContent-Type: [^\r\n]{0,100}\r\nDate: [^\r\n]{0,100} GMT\r\n(Content-Length: \d+\r\n)\r\n/";
  threshold:type limit, track by_dst, count 1, seconds 600;
  classtype:trojan-activity; priority:2;
sid:21002217; rev:3;)

我得到错误:

验证失败:PCRE 令牌无效或不受支持:[...] 错误:不支持的 PCRE 语法:'.' 处缺少 EOF

当我从

pcre:"/^HTTP/1.1 200 OK \r\nContent-Type: [^\r\n]{0,100}\r\nDate: [^\r\n]{0,100} GMT\r\n(Content-Length: \d+\r\n)\r\n/";


pcre:"/^HTTP 200 OK \r\nContent-Type: [^\r\n]{0,100}\r\nDate: [^\r\n]{0,100} GMT\r\n(Content-Length: \d+\r\n)\r\n/";

(所以删除/1.1),它说语法是有效的。

我怎样才能解决这个问题?

标签: httppcresnort

解决方案

您的问题出在 HTTP 标头中:

 /^HTTP/1.1 200...

PCRE 使用正斜杠分隔。你无意中在你的表情中留下了一个斜线。此外,你有一个点,你可能不是故意的。您将需要进行调整,例如:

 /^HTTP\/1\.1 200...

推荐阅读