Snort 规则检测

Snort 规则检测

我在 pcap 中有一个无法检测的 snort 规则。有些 pcap 文件可以检测到此规则,有些则不行。我尝试了很多可能的选项,但没有检测到。如果有人能帮助我,那就太好了 ;-)

这是在 2 个 pcap 文件上检测到的规则。

警报 ip any any <> any any (msg:“TEST 1”;内容:“forum.php”;nocase;classtype:trojan-activity;sid:6000003;rev:0;)

这条规则没有被其他 2 个 pcap 文件检测到。Wireshark 显示 forum.php 在未检测到的 pcap 中

哪里有问题 ?

感谢帮助

相关内容