http 응답의 내용을 확인하여 "abbb"내용을 찾으려고합니다. 그래서 내 규칙은
alert tcp MY_SERVER HTTP_PORTS-> any (msg : "접근 된 페이지에 abbb 컨텐츠가 있습니다"; to_client; 확립 됨; 컨텐츠 : "abb"; sid : XXXXX; rev : x;)
불행히도이 규칙은 작동하지 않는 것 같습니다. 누구든지 내 규칙에 문제가 있는지 말해 줄 수 있습니까?
우선 이것은 유효한 구문이 아니므로 규칙의 to_client 부분을 수정해야합니다. 이를 다음과 같이 변경해야합니다.
flow : to_client, established;
여기 에서 흐름에 대해 자세히 알아볼 수 있습니다 .
서버에서 클라이언트로 전송 된 "abbb"컨텐츠를 찾고 있다면, 당신과 같은 단순한 컨텐츠 일치가 필요합니다. 규칙의 효율성을 높이려면 여기에서 빠른 패턴 일치기를 사용하는 것이 좋습니다. 따라서 콘텐츠 일치는 다음과 같습니다.
content : "abbb"; fast_pattern : only;
이를 종합하면 규칙은 다음과 같습니다.
alert tcp MY_SERVER HTTP_PORTS-> any any (msg : "The page have content abbb"; flow : to_client, established; content : "abbb"; fast_pattern : only; sid : XXXXX; rev : x;)
이것이 여전히 트리거되지 않으면 다른 일이 진행되고있는 것입니다. 콘텐츠에서 이것을 찾고 있기 때문에 http 전 처리기에서 검사 깊이를 확인해야합니다. server_flow_depth 및 client_flow_depth가 있습니다. 이를 0 (무제한)으로 설정하고 이후에 규칙이 트리거되는지 확인하십시오. 예를 들어 client_flow_depth가 300이고 콘텐츠 "abbb"가 500 바이트 이후까지 오지 않았다면 snort가 페이로드까지 검사하도록 구성되지 않았기 때문에 규칙이 트리거되지 않습니다.
적응 형 프로파일 링이 활성화 된 경우 http에 대한 메타 데이터 서비스를 추가해야합니다. 그렇지 않으면 규칙이 http 트래픽과 일치하지 않습니다. 이것은 다음과 같습니다.
메타 데이터 : 서비스 http;
적응 형 프로파일 링을 사용하지 않으면 규칙 헤더의 포트를 사용합니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다