Snort のパケット コンテンツを含むキーワードをチェックしたいが、静的な単語はチェックしたくない。
たとえば、ubuntuでこのキーワードフォーム端末を取得するなど、動的にしたい。
alert tcp any any -> any any (msg:" your content found"; sid:100000; content:"something to find"; )
そのコードは静的な値に使用されます。
あなたのアイデアを共有してください。
ありがとう。
2 に答える
0
このようなことを達成する唯一の方法は、共有オブジェクト ルールを使用することだと思います。それ以外の方法はないと思います。共有オブジェクト ルールは、snort ルールで実装するのがより難しいものの 1 つですが、これを使用してこのようなことを行うことは確かに可能です。共有オブジェクト ルールの使用方法に関するこのブログ投稿を読むことをお勧めします。
于 2015-01-30T21:48:39.523 に答える