Snort中如何运用pcre进行高效的正则表达式匹配?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1498个文字,预计阅读时间需要6分钟。
Snort中使用PCRE和正则表达式的应用示例:
1. 题目描述: 如果Snort检测到TCP流中的两个数据包,第一个数据包的负载包含login或Initial,且目标端口为3399;第二个数据包包含IPv4Address:Port字符串(例如:192.168.1.1:80)。
2. Snort规则: alert tcp any any -> any any (msg:检测到登录尝试; content:login|Initial; http_port=3399; content:IPv4Address:Port; depth:10; sid:1001; rev:1;)
Snort中pcre和正则表达式的使用 1. 题目描述If snort see two packets in a TCP flow with
- first packet has “login” or “Initial” in payload, destination port is 3399;
- and second packet has a “IPv4Address:Port”string(E.g. 123.45.6.7:8080) in payload. destination port is 3399;
- output an alert with msg “bot founded” and sid 1000001
题目要求检测包含两个包的特定流,需要通过设置标记位,即flowbits来实现。
本文共计1498个文字,预计阅读时间需要6分钟。
Snort中使用PCRE和正则表达式的应用示例:
1. 题目描述: 如果Snort检测到TCP流中的两个数据包,第一个数据包的负载包含login或Initial,且目标端口为3399;第二个数据包包含IPv4Address:Port字符串(例如:192.168.1.1:80)。
2. Snort规则: alert tcp any any -> any any (msg:检测到登录尝试; content:login|Initial; http_port=3399; content:IPv4Address:Port; depth:10; sid:1001; rev:1;)
Snort中pcre和正则表达式的使用 1. 题目描述If snort see two packets in a TCP flow with
- first packet has “login” or “Initial” in payload, destination port is 3399;
- and second packet has a “IPv4Address:Port”string(E.g. 123.45.6.7:8080) in payload. destination port is 3399;
- output an alert with msg “bot founded” and sid 1000001
题目要求检测包含两个包的特定流,需要通过设置标记位,即flowbits来实现。