以特定順序與Suricata匹配數據包內容？

Question

我試圖創建Suricata規則，當且僅當找到所有內容並按特定順序匹配數據包。

我目前的規則存在的問題是即使數據包內容爲test2 test1，它也會匹配。

有沒有辦法在不使用pcre的情況下實現此功能？

alert tcp $HOME_NET any -> $EXTERNAL_NET [80,443] (msg:"Test Rule"; flow:established,to_server; content:"test1"; fast_pattern; content:"test2"; distance:0; classtype:web-application-activity; sid:5182976; rev:2;) 

Answer 1

我想通了，我是用測試Suricata簽名的方法，在某些時候複製測試數據造成的簽名總是火災。

至於回答我自己的問題，內容順序可以通過在第一次內容匹配後添加距離修飾符來強制執行。

曾經出現在：

content:"one"; content:"two"; distance:0; content:"three"; distance:0; . . . 

據我所知道的，fast_pattern關鍵字可以省略。