我在 pcap 中有一个无法检测的 snort 规则。有些 pcap 文件可以检测到此规则,有些则不行。我尝试了很多可能的选项,但没有检测到。如果有人能帮助我,那就太好了 ;-)
这是在 2 个 pcap 文件上检测到的规则。
警报 ip any any <> any any (msg:“TEST 1”;内容:“forum.php”;nocase;classtype:trojan-activity;sid:6000003;rev:0;)
这条规则没有被其他 2 个 pcap 文件检测到。Wireshark 显示 forum.php 在未检测到的 pcap 中
哪里有问题 ?
感谢帮助