snort

0热度

1回答

alert tcp $ HOME_NET any - > $ HOME_NET 80（flags：S; msg：“可能的TCP DoS”;流：无状态;阈值：键入both，track by_src，count 70，秒10; SID：10001;启：1）

0热度

3回答

如何在shell脚本中返回本地用户？

我有Ubuntu 15.10操作系统。我写了一个shell脚本来执行其多个命令：登录到根“根@ dalya-B5400：/首页/ hduser”，进入snort的目录，并打开IDS模式，转换捕获的数据包，以文本格式，最后从该目录和root登出，然后登录到hadoop用户“root @ dalya-B5400：/ home/hduser”，启动所有进程并将snort日志文件发送到hadoop。

0热度

1回答

Snort或Suricata同时使用Docker？

猜测我打算为我的IDS/IPS使用多个docker文件 - 使用微服务。说超过50个码头它的容器。您愿意使用Suricata或Snort？ Snort是不是非常重要多线程，并且它是否snort 较弱比Suricata？

0热度

1回答

Snort规则来检测HTTP，HTTPS和电子邮件

我配置了Snort规则来检测ping和TCP alert icmp any any -> any any (msg:"ping";sid:10000001;rev:0;) 如何配置Snort规则来检测HTTP，HTTPS和电子邮件？

1热度

1回答

以特定顺序与Suricata匹配数据包内容？

我试图创建Suricata规则，当且仅当找到所有内容并按特定顺序匹配数据包。我目前的规则存在的问题是即使数据包内容为test2 test1，它也会匹配。有没有办法在不使用pcre的情况下实现此功能？ alert tcp $HOME_NET any -> $EXTERNAL_NET [80,443] (msg:"Test Rule"; flow:established,to_server; co

0热度

1回答

如何在snort alert中获取VLAN ID？

我想解析snort警报并过滤必要的信息，例如恶意内部机器所属的vlan id！但是，我只能得到消息，源和目标IP，我也需要获取VLAN ID。感谢

0热度

1回答

如何从snort sql中删除这个事件？

我们如何从snort sql中删除这个事件？我尝试这样做：创建Snort的机器上的SQL文件：纳米dbclean.sql 下面的代码添加到SQL文件： use snort; DELETE FROM event WHERE timestamp < DATE_SUB(NOW(),INTERVAL 28 DAY); DELETE FROM data USING data LEFT OUTER J

0热度

1回答

如何对DNS rdata/IP地址进行规则触发？

我现在有下面的DNS查询警惕法则在Suricata设置（用于测试目的）： alert dns any any -> any any (msg:”Test dns_query option”; dns_query; content:”google”; nocase; sid:1;) ，当它抓住它包含单词DNS事件包含“google”，如在此数据包被触发： {"timestamp":"2017-0

0热度

1回答

Snort规则检测ZIP文件中的单个JS或VBS文件

如何使用Snort规则查找正在下载的仅包含单个 .js或.vbs文件的ZIP文件？想过用PCRE的 - >^PK +（JS | JS |的js | JS）样品流量： HTTP/1.1 200 OK 日期：周三，19。 2017年4月19时46分43秒GMT 服务器：Apache X-已启动方式：PHP/29年3月5日缓存控制：无缓存，无店铺，最大年龄= 0，必重新验证有效期至：1913年1

0热度

1回答

snort | PCRE |规则规范

我的目标是写一个规则，以检测一个简单的道理利用（SQLI）的字符串例如是一种形式： % ' or 1 = 1 # 为了识别上述和一些串它的变化，我开发了以下pcre。 pcre: "/\W\s*\W\s*or\s*([\d\w])\s*\W\s*\1\s*\W/"; 我跑了一个测试@regextester和我的正则表达式似乎工作。但是，在Snort中，此规则无法选择并且不会触发。规则是