如何在snort中动态匹配数据包内容?
how can match packet content dynamically in snort?
我想在 snort 中检查包含数据包内容的关键字,而不是静态词。
我希望它是动态的,例如在 ubuntu 中获取此关键字表单终端。
alert tcp any any -> any any (msg:" your content found"; sid:100000; content:"something to find"; )
该代码用于静态值。
请分享您的想法。
谢谢。
我认为完成这样的事情的唯一方法是使用共享对象规则。我不相信有任何其他方式可以做到这一点。共享对象规则是在 snort 规则中实现起来比较困难的事情之一,但它肯定可以用它来做这样的事情。我建议阅读 this blog post 了解如何使用共享对象规则。
接受控制台规则的包装器脚本如何,将其写入规则文件,然后重新加载 snort?
我想在 snort 中检查包含数据包内容的关键字,而不是静态词。
我希望它是动态的,例如在 ubuntu 中获取此关键字表单终端。
alert tcp any any -> any any (msg:" your content found"; sid:100000; content:"something to find"; )
该代码用于静态值。
请分享您的想法。
谢谢。
我认为完成这样的事情的唯一方法是使用共享对象规则。我不相信有任何其他方式可以做到这一点。共享对象规则是在 snort 规则中实现起来比较困难的事情之一,但它肯定可以用它来做这样的事情。我建议阅读 this blog post 了解如何使用共享对象规则。
接受控制台规则的包装器脚本如何,将其写入规则文件,然后重新加载 snort?