snort

0熱度

1回答

alert tcp $ HOME_NET any - > $ HOME_NET 80（flags：S; msg：「可能的TCP DoS」;流：無狀態;閾值：鍵入both，track by_src，count 70，秒10; SID：10001;啓：1）

0熱度

3回答

如何在shell腳本中返回本地用戶？

我有Ubuntu 15.10操作系統。我寫了一個shell腳本來執行其多個命令：登錄到根「根@ dalya-B5400：/首頁/ hduser」，進入snort的目錄，並打開IDS模式，轉換捕獲的數據包，以文本格式，最後從該目錄和root登出，然後登錄到hadoop用戶「root @ dalya-B5400：/ home/hduser」，啓動所有進程並將snort日誌文件發送到hadoop。

0熱度

1回答

Snort或Suricata同時使用Docker？

猜測我打算爲我的IDS/IPS使用多個docker文件 - 使用微服務。說超過50個碼頭它的容器。您願意使用Suricata或Snort？ Snort是不是非常重要多線程，並且它是否snort 較弱比Suricata？

0熱度

1回答

Snort規則來檢測HTTP，HTTPS和電子郵件

我配置了Snort規則來檢測ping和TCP alert icmp any any -> any any (msg:"ping";sid:10000001;rev:0;) 如何配置Snort規則來檢測HTTP，HTTPS和電子郵件？

1熱度

1回答

以特定順序與Suricata匹配數據包內容？

我試圖創建Suricata規則，當且僅當找到所有內容並按特定順序匹配數據包。我目前的規則存在的問題是即使數據包內容爲test2 test1，它也會匹配。有沒有辦法在不使用pcre的情況下實現此功能？ alert tcp $HOME_NET any -> $EXTERNAL_NET [80,443] (msg:"Test Rule"; flow:established,to_server; co

0熱度

1回答

如何在snort alert中獲取VLAN ID？

我想解析snort警報並過濾必要的信息，例如惡意內部機器所屬的vlan id！但是，我只能得到消息，源和目標IP，我也需要獲取VLAN ID。感謝

0熱度

1回答

如何從snort sql中刪除這個事件？

我們如何從snort sql中刪除這個事件？我嘗試這樣做：創建Snort的機器上的SQL文件：納米dbclean.sql 下面的代碼添加到SQL文件： use snort; DELETE FROM event WHERE timestamp < DATE_SUB(NOW(),INTERVAL 28 DAY); DELETE FROM data USING data LEFT OUTER J

0熱度

1回答

如何對DNS rdata/IP地址進行規則觸發？

我現在有下面的DNS查詢警惕法則在Suricata設置（用於測試目的）： alert dns any any -> any any (msg:」Test dns_query option」; dns_query; content:」google」; nocase; sid:1;) ，當它抓住它包含單詞DNS事件包含「google」，如在此數據包被觸發： {"timestamp":"2017-0

0熱度

1回答

Snort規則檢測ZIP文件中的單個JS或VBS文件

如何使用Snort規則查找正在下載的僅包含單個 .js或.vbs文件的ZIP文件？想過用PCRE的 - >^PK +（JS | JS |的js | JS）樣品流量： HTTP/1.1 200 OK 日期：週三，19。 2017年4月19時46分43秒GMT 服務器：Apache X-已啓動方式：PHP/29年3月5日緩存控制：無緩存，無店鋪，最大年齡= 0，必重新驗證有效期至：1913年1

0熱度

1回答

snort | PCRE |規則規範

我的目標是寫一個規則，以檢測一個簡單的道理利用（SQLI）的字符串例如是一種形式： % ' or 1 = 1 # 爲了識別上述和一些串它的變化，我開發了以下pcre。 pcre: "/\W\s*\W\s*or\s*([\d\w])\s*\W\s*\1\s*\W/"; 我跑了一個測試@regextester和我的正則表達式似乎工作。但是，在Snort中，此規則無法選擇並且不會觸發。規則是