シェルコードを除外するために複数のポートを指定することはできなかったとどこかで読みましたが、それは正しいですか? そうでない場合、次は正しいですか?
SHELLCODE を検索するポートのリスト。
portvar SHELLCODE_PORTS ![21,25,80,143,587,8889]
Snort 2905 を使用しています。
2 に答える
0
それを試してみてください。Snortが構文を気に入らない場合は、致命的な解析エラーをスローバックする必要があります。ただし、構文は次のように実装する方が適切だと思います。
portvar SHELLCODE_PORTS [21,25,80,143,587,8889]
つまり、否定なしで、ルールで使用されます。
alert tcp any any <> any !SHELLCODE_PORTS ( ... )
次のこともできます。
portvar SHELLCODE_PORTS [!21,!25,!80,!143,!587,!8889]
どちらが有効な構文である必要があります。ただし、テストは行っていません。YMMV。
于 2011-05-31T05:55:30.073 に答える
0
!$SHELLCODE_PORTS が必要です
ドル記号がありません。
于 2014-11-28T00:43:12.380 に答える