regex - 检测 Base64 编码的 Snort 规则
问题描述
我正在尝试将以下正则表达式合并到 snort 规则中,以检测出站 ICMP 流量中的 base64:^-A-Za-z0-9+/=]|=[^=]|={3,}$
我自己没有写这个表达式,但是我测试了它,它似乎在http://regexe.com/中工作得很好。
鼻息法则:alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:“Base64 detected in outbound ICMP traffic (possible ICMP tunnelling!)";pcre"^-A-Za-z0-9+/=]|=[^=]|={3,}$";)
我知道 snort 使用 Perl Compatible Regex 这可能解释了这种差异,但是我不够熟练,无法找出需要更改的内容来解决这个问题。当我将此规则添加到时出现以下错误/etc/snort/rules/local.rules file
:ERROR: /etc/snort/rules/local.rules Line 8 => unable to parse pcre regex "^-A-Za-z0-9+/=]|=[^=]|={3,}$"
任何人都可以提供帮助?
问候,
解决方案
推荐阅读
- vue.js - cannot dynamically create and add Vue components failed to mount component template or render function not defined
- c# - how to use the foreach loop to pass each row of a wpf datagridview with Thesame data source as a report back to the report
- php - How Github repo can use AWS laravel elastic beanstalk environment variables without .env file
- node.js - How to populate model in mongoose
- python-3.x - 根据列表中分配的特定值附加列表
- xml - 每当我在 android studio 中运行应用程序时,我的应用程序就会一直停止
- plaid - 有没有办法获取所有项目的访问令牌,或删除与您的格子 ID 关联的所有项目?
- sql - 如何在 SQL Server 中进行函数调用
- c++ - C++ 右值参数
- powershell - 更改重复字符串中 1 个字符的值