我是 snort 规则的新手,需要一条可以对来自特定用户的任何电子邮件发出警报的规则。例如:
alert tcp any any -> any 25 (msg:"Target Email Detected"; content:"[email protected]"; fast_pattern:only; nocase; classtype: Target Email Detected ;sid:12345 ;)
到目前为止,如果内容中存在该邮件,此规则将会嗅探该邮件,但不会发出警报。
答案1
您的规则大部分看起来不错。我相信问题与您的 sid 映射/类类型有关。如果您像之前一样定义新的类类型,则需要设置其他配置选项 - 在这种情况下,回收现有内容要容易得多。我建议使用违反政策的类类型。
回复:评论内容字段会搜索它看到的数据包的整个主体。这不应该是 PCRE 问题。您可能需要查看组装流。可能是您正在搜索的字符串在数据包之间被断开了。尝试启动 Wireshark 并捕获您想要的确切数据包。