signature - 如何解决 Zeek 签名中的规则定义两次错误?
问题描述
我正在尝试学习 zeek 签名
签名文件名:dns.sig
signature dns-intel{
ip-proto == udp
dst-port == 53
payload /.*life|.*bar/
event "[Suspicious DNS Query]" }
Zeek 文件名:myfirst.zeek
event signature_match (state: signature_state, msg: string, data: string) {
if (state$sig_id == "dns-intel") {
print fmt ("[Suspicious DNS query] %s", state$conn$dns$query)
}
我在第 5 行遇到错误:规则定义了两次。这里有什么问题??
解决方案
根据您的错误代码,签名 ID 必须是唯一的:
第 5 行中的错误:规则定义了两次。这里有什么问题??
可能是您dns-intel
在 dns.sig 文件中定义了具有相同 id: 的多个签名。
修改你的 dns.sig 文件并确保每个签名都有一个唯一的 id 应该可以修复错误。
我在本地机器上测试了您的签名和脚本,并且可以毫无问题地运行。
推荐阅读
- java - Russian characters are shown as ??? in java
- oop - 我可以使用多态性来切换 KeyCode 的类型吗
- c# - 绑定标志中的管道是否不代表“或”
- excel - Excel VBA 文件夹标题按顺序排列
- r - R shinydashboard 在值框中显示所选输入的总和
- c++ - 如何使用元编程通过自动生成对象来避免大量输入?
- typescript - 在下游接口上保留基于字段内容的联合类型区分
- python-3.x - 为 DNSKEY 资源记录创建有效的 RSA/SHA256 密钥
- c# - 生成第一个/下一个/上一个/最后一个链接,其中 api 仅提供偏移量
- html - Bootstrap 4 表对于移动设备来说太宽了