Snort 规则 src 和 dsr 地址的内容

Question

如果我想用 snort 规则警报来提醒流量：

Ethernet II, Src: Xircom_c5:7c:38 (00:10:a4:c5:7c:38), Dst: 3comCorp_a8:61:24 (00:60:08:a8:61:24)

尝试使用：

alert tcp any any -> any any (content:"|00 60 08 a8 61 24|"; content:"|00 10 a4 c5 7c 38|"; nocase; msg:"Alert")

看起来不行.....

Answer 1

Snort 不适用于 MAC 地址级别，它适用于 TCP、UDP、 ICMP 和 IP 协议。

您的规则是一个 tcp 规则，因此将至少有 20 个字节 header，可能最多 60 个字节，具体取决于选项。

由于 snort 内容规则仅在有效负载中匹配，这意味着您的每个内容项 content:"|00 60 08 a8 61 24|" 和 content:"|00 10 a4 c5 7c 38|" 将仅在初始 header（20 - 60 字节）之后匹配).