2016-05-26 28 views
0

我有以下兩條規則嗤之以鼻flowbits和標籤規則不起作用

alert tcp any any -> 192.168.2.105 80 (msg:"test-tag"; sid:10000;flow:from_client;flowbits:set,http;tag:session,exclusive;) 

alert tcp 192.168.2.105 80 -> any any (msg:"test-triggered";sid:10001;flowbits:isset,http;tag:session,exclusive;) 

然後我用另一臺機器上的捲曲發送請求192.168.2.105:80,我可以看到第一個警報規則觸發;但第二條警戒規則沒有觸發,我不知道爲什麼。請有人幫我解決這個問題嗎?謝謝。

回答

0

通信的流程是從任何IP到任何端口到192.168.2.105端口80.第二個規則指定從192.168.2.105 80到任何具有任何端口的IP的流程。

如果您在兩個規則中將 - >更改爲<>,它們都應觸發警報。