snort - 如何在 Snort 中创建内容规则
问题描述
目的是检测 HOME_NET 中是否有人在搜索“恐怖主义”并生成警报。我正在使用安装在运行 Ubuntu 18.04 的虚拟机 (VirtualBox) 中的 Snort 2.9。
此处询问了相同的 qs,但仍未得到答复。
出于测试目的,将 HOME_NET 设置为单机(192.168.30.102)
创建的规则如下:
alert tcp $HOME_NET any -> any any (msg:"terrrorism content found"; content:"terrorism"; nocase; sid:10000002;)
这是从 Philip Craiger 博士的精彩视频中提到的。还按照此处和此处
的建议尝试了其他一些变体:
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"terrrorism content found"; content:"terrorism"; nocase; sid:10000002;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"terrrorism content found"; content:"terrorism"; http_uri; sid:10000002;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"terrrorism content found"; content:"terrorism"; http_client_body; sid:10000002;)
为了测试,在网络浏览器(firefox)中进行了简单的谷歌搜索。但是,不会生成任何警报。
检测“HTTP”一词的规则已正确执行:
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"HTTP found"; content:"HTTP"; sid:10000002;)
这是一个相当简单的规则,因为“HTTP”是数据包应用程序数据中的第一个单词。但是,如上所述的先前规则的任何变体似乎都不起作用。没有生成警报。
如果有人能指出我正确的方向,我将不胜感激。
解决方案
推荐阅读
- powershell - PowerShell GUI / Windows 窗体导致脚本冻结
- python - 无法找到复选框 Selenium
- sql - 如何有效地将 + 1 与具有数字部分的 Varchar 值相加?
- sql - 为什么在我的查询中没有使用 Pivot Clause 的订单?
- jsf - 单击每个 p:commandButton 时出现 IllegalArgumenException
- azure - 具有动态路径的 ADL 之间的 Azure 数据工厂复制
- r - proc排序,保留在R中
- typescript - 从值的排除 (?) 中键入
- amazon-web-services - 配置启动模板时,AWS Batch 作业卡住 RUNNABLE
- bazel - 是否可以将 WORKSPACE 文件拆分为多个文件?