d77_52558522 2024-03-28 16:44 采纳率: 33.3%
浏览 3

snort规则如何对content内容精确匹配,如何正确结合content和正则表达式?

alert tcp any any -> 192.168.19.132 80 (msg: "Possible attack"; flow:to_server; sid:100000012; content:"1",nocase; )
alert tcp any any -> 192.168.19.132 80 (msg: "Possible attack"; flow:to_server; sid:100000013; content:"1%27",nocase;)

如上两条snort规则,在实际进行检测时,如果检测到 1%27 会同时触发content为1 和 1%27的警报,无法实现对content的内容的长度、字符等方面的完全精确匹配,可以通过修改snort规则中的content字段来精确匹配内容吗,比如改成正则表达?

我试过把content“1”改成“^1$”,但是不正确,无法检测出“1”了

alert tcp any any -> 192.168.19.132 80 (msg: "Possible attack"; flow:to_server; sid:100000012; content:"^1$";nocase ;)
  • 写回答

1条回答 默认 最新

  • Kwan的解忧杂货铺 Java领域优质创作者 2024-03-28 16:44
    关注

    d77_52558522 下午好🌅🌅🌅
    本答案参考ChatGPT-3.5

    要对content内容进行精确匹配,可以结合使用content和正则表达式的方式来处理。下面是针对你的问题的解决方案:

    1. 当content内容为"1"时,使用nocase选项表示不区分大小写,会匹配到所有"1"字符的出现。如果你想要实现对content内容大小写的精确匹配,可以在content前使用rawbytes选项,如下所示:
    alert tcp any any -> 192.168.19.132 80 (msg: "Possible attack"; flow:to_server; sid:100000012; rawbytes; content:"1";)
    1. 当content内容为"1%27"时,使用nocase选项会匹配到所有包含"1%27"的字符串。如果你想要匹配到"1%27"这个准确值,可以使用rawbytes和pcre选项结合使用,如下所示:
    alert tcp any any -> 192.168.19.132 80 (msg: "Possible attack"; flow:to_server; sid:100000013; rawbytes; pcre:"/1%27/";)

    综上所述,要实现对content内容的精确匹配,可以使用以下方法: 1.对于纯文本的匹配,使用rawbytes选项结合content字段即可; 2.对于包含特殊字符或需要进一步匹配的内容,可以使用rawbytes和pcre选项结合正则表达式来处理。

    评论

报告相同问题?

  • centos7.6里snort已安装,但是现在找不到程序了,如何重新运行? linux 系统安全 网络安全
    2022-05-21 01:02
    回答 3 已采纳 重装吧,如果不知道怎么卸载,就将原来的安装步骤重新执行一次,应该会覆盖
  • Barnyard2 无法将snort日志传入数据库 linux 数据库 运维
    2023-03-18 20:08
    回答 3 已采纳 参考GPT和自己的思路: 根据你提供的信息,可能存在以下几个可能性: 数据库连接失败:Barnyard2无法将snort日志传入数据库,可能是因为无法连接到数据库。您可以检查数据库的配置是否与barn
  • sudo make install报错 linux
    2022-09-19 21:09
    回答 2 已采纳 sudo make install 的前提,通常是 make 成功了,然后再执行。 一般源码安装的流程是:1、./configure2、sudo make3、sudo make install 若有
  • dns协议类漏洞学习--结合snort分析(二)
    2019-04-18 17:06
    Elwood Ying的博客 ISC BIND 9.0.x到9.8.x,9.9.0到9.9.6和9.10.0到9.10.1不限制delegation chaining,允许远程攻击者通过大量的或无限数量的referrals造成拒绝服务(内存消耗和named崩溃) ...
  • 搜索站点中的文件并将其复制到阵列 php
    2011-07-12 11:34
    回答 2 已采纳 You need to use a regex to get any matches of the source $url = 'http://cvs.snort.org/viewcvs
  • 「干货」Snort使用手册「详细版」
    2022-01-21 14:00
    橙留香Park的博客 snort的工作原理是解析规则集形成规则树,然后利用lihpcap对采集来的数据进行模式匹配,若匹配成功,则认为是有入侵行为发生,进入报警理模块 而Snort 3是下一代Snort IPS(入侵防御系统) 3.1 IPS简介 入侵指的是...
  • NSM和入侵检测掌握IDS规则和警报的指南
    2020-08-08 08:11
    allway2的博客 在本指南中,我们将介绍什么是网络安全监控,什么是IDS和IPS,如何解释Snort和Suricata的规则,当今最流行的IDS / IPS平台是什么,讨论阅读和分析IDS警报,如何做出判断关于基于支持证据的IDS / IPS警报的有效性,...
  • suricata规则
    2018-12-20 10:21
    whatday的博客 Emerging威胁检测规则wiki:http://doc.emergingthreats.net/bin/view/Main/WebHome ...Snort规则与Suricata规则基本语法相同 规则结构 一、规则头部: 1. 规则行为:行为声明,用于通知IDS引擎...
  • Snort巧妙检测SQL注入和跨站脚本攻击
    2008-03-09 09:40
    破法者的博客 很多服务器配置了先进的硬件防火墙、多层次的安全体系,可惜最后对80端口的SQL注入和跨站脚本攻击还是没有办法抵御,只能看着数据被恶意入侵者改的面目全非而毫无办法——把你的Snort武装起来吧,用它来检测...
  • 【转载】用Snort巧妙检测SQL注入和跨站脚本攻击
    2011-04-08 20:06
    weixin_30312659的博客 很多服务器配置了先进的硬件防火墙、多层次的安全体系,可惜最后对80端口的SQL注入和跨站脚本攻击还是没有办法抵御,只能看着数据被恶意入侵者改的面目全非而毫无办法——把你的Snort武装起来吧,用它来检测...
  • Wireshark 用户使用手册 ———— 文件处理
    2021-10-18 09:09
    小趴菜_自动驾驶搬砖人的博客  我们将介绍捕获数据的输入和输出,例如打开各种捕获文件格式的捕获文件,以各种格式保存和导出捕获文件,将捕获文件合并在一起,导入包含数据包十六进制转储的文本文件,打印数据包等等操作。 打开捕获文件  ...
  • cve-2016-9147
    2019-04-11 16:11
    Elwood Ying的博客 该漏洞是由于受影响的软件对用户提供的输入进行了不正确的验证。 攻击者可以通过向受影响的软件提交精心设计的查询响应来利用此漏洞。 成功利用可能允许攻击者使目标服务停止运行,从而导致目标系统出现DoS情况。 0x...
  • SQL注入全接触
    2007-11-26 11:35
    luisant的博客 SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别, ...但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合
  • ***检测系统逃避技术和对策的介绍
    2007-12-15 16:00
    weixin_34366546的博客 黑帽社团不断推出躲避或者越过网络***检测系统(Network Intrusion Detection System,NIDS)的新技术,而NIDS的开发者不断地在自己的产品中加入对这些技术的检测。但是,由于NIDS本身的局限性,胜利的天平正在向黑帽子...
  • IDS逃避技术和对策
    2006-08-29 11:32
    古剑楠的博客 标题:IDS逃避技术和对策时间:2004-10-02 来源:www.cexpress.com 文摘内容: --------------------------------------------------------------------------------http://www.linuxaid.com.cn1.字符串匹配的...
  • IDS逃避技术和对策的详细介绍
    2006-02-04 16:21
    yjz0065的博客 黑帽社团不断推出躲避或者越过网络入侵检测系统(Network Intrusion Detection System,NIDS)的新技术,而NIDS的开发者不断地在自己的产品中加入对这些技术的检测。但是,由于NIDS本身的局限性,胜利的天平正在向 黑...
  • 针对IDS的逃避技术与相关对策
    2007-08-17 01:11
    iiprogram的博客 黑帽社团不断推出躲避或者越过网络入侵检测系统(Network Intrusion Detection System,NIDS)的新技术,而NIDS的开发者不断地在自己的产品中加入对这些技术的检测。但是,由于NIDS本身的局限性,胜利的天平正在向黑...
  • Snort3:规则语法规范(三)
    2023-11-16 09:45
    魔神8号的博客 功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ...
  • 没有解决我的问题, 去提问

问题事件

  • 创建了问题 3月28日

悬赏问题

  • ¥15 ETLCloud 处理json多层级问题
  • ¥15 matlab中使用gurobi时报错
  • ¥15 这个主板怎么能扩出一两个sata口
  • ¥15 不是,这到底错哪儿了😭
  • ¥15 2020长安杯与连接网探
  • ¥15 关于#matlab#的问题:在模糊控制器中选出线路信息,在simulink中根据线路信息生成速度时间目标曲线(初速度为20m/s,15秒后减为0的速度时间图像)我想问线路信息是什么
  • ¥15 banner广告展示设置多少时间不怎么会消耗用户价值
  • ¥15 可见光定位matlab仿真
  • ¥15 arduino 四自由度机械臂
  • ¥15 wordpress 产品图片 GIF 没法显示