如何使用 SNORT 检测从 HTTP 服务器安装的 exe

如何使用 SNORT 检测从 HTTP 服务器安装的 exe

警报 tcp any any -> any 80 (msg:“检测到 HTTP 文件下载”;flow:to_server,established;content:“GET”;http_method;content:“.exe”;http_uri;sid:1000001;)

在 wireshark 上它看起来像这样:GET /reverse.exe HTTP/1.1 然而似乎无法在 snort 上得到警报

相关内容