试图编写一条规则来检测进入网络的电子邮件流量,即:
请注意,我是snort的初学者。不过,到目前为止,我还没有做到这一点:
content:"|05|gmail|03|com|00|"; nocase; pcre:"/([a-zA-Z0-9] {1,75}\.xls)";
不确定如何获得文件大小附件检测在那里,或即使pcre位用于检测文件名和类型是正确的。任何帮助都是非常感谢的。
发布于 2014-07-05 22:38:52
我从未使用过snort,但从我在文档中收集到的信息来看,您的模式似乎可以这样编写:
请注意,根据文档中的示例,模式需要包含在分隔符之间(这里的斜杠)。因此,所有的文字斜线都必须在模式中转义。
https://stackoverflow.com/questions/24590399
复制相似问题