个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在尝试生成一些可以触发 snort 警报的跟踪以测试 snort 的性能。但是在一些规则中有一些pcre选项包含/R,我不明白。
例如,在一个snort规则pcre中有一个pcre选项:"/^(\x75|\x2d|\x2f|\x73|\xa2|\x2e|\x24|\x74)/sR",我不知道 “R” 是什么意思。我知道 "s" 是一个可以设置 PCRE_DOTALL 的 pcre 修饰符。但是 “R” 呢?它也是修饰符还是其他?
我搜索了 pcre 文档,但没有找到“R”修饰符。所以我认为它不是修饰符。
这是一个示例规则,其中包含带有/R 的 pcre 选项,我从 snort3 的社区规则中获得了这条规则。
alert udp $EXTERNAL_NET any -> $HOME_NET 138 ( msg:"OS-WINDOWS Microsoft Windows SMB unicode andx invalid server name share access"; content:"|11|",depth 1; content:"|00|",distance 13; content:"|00|",distance 0; content:"|FF|SMB",within 4,distance 3; pcre:"/^(\x75|\x2d|\x2f|\x73|\xa2|\x2e|\x24|\x74)/sR"; byte_test:1,&,128,6,relative; content:"u",depth 1,offset 39; byte_jump:2,0,little,relative; byte_jump:2,7,little,relative; content:"|5C 00 5C 00|",distance 2,nocase; pcre:!"/^([^\x5C\x00].|[\x5c\x00][^\x00])+\x5C\x00/sR"; metadata:policy max-detect-ips drop; reference:cve,2010-0022; reference:url,technet.microsoft.com/en-us/security/bulletin/MS10-012; classtype:protocol-command-decode; sid:16403; rev:12; )
最佳答案
R 修饰符不是 native PCRE 修饰符,它是 PCRE 的 Snort 特定修饰符 正则表达式,它使 Snort3 能够强制执行特定的模式行为。
参见 Snort3 "3.5.26.1 Format" documentation :
R Match relative to the end of the last pattern match. (Similar to distance:0;)
...
The modifiers R (relative) and B (rawbytes) are not allowed with any of the HTTP modifiers such as U, I, P, H, D, M, C, K, S and Y.
请注意,acc。至 Rules Authors Introduction to Writing Snort 3 Rules :
In Snort 2, the post-re modifiers (
B,U,P,H,M,C,I,D,K,S,Y) set compile time flags for the regular expression. For example, the Snort specific modifier for pcre U is used to match the decoded URI buffers.
In Snort 3, some of post-re modifiers (B,U,P,H,M,C,I,D,K,S,Y) have been deleted in favor of stickybuffers.
关于pcre - snort 的 pcre 规则选项中的/R 是什么意思?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57746710/
25
4
0
我在 Centos 上作为 IDS 运行了 snort。我正在尝试测试 snort 是否可以检测到 syn flood 攻击。我从同一个 LAN 网络发送攻击。我在 local.rules alert
菜鸟警报!我已经在一台服务器“a”上安装了 snort。我在同一个网络上还有两台服务器 b 和 c。我创建了一个测试 icmp 规则 `alert icmp any any -> $HOME_NET
尝试编写一个阻止系统(使用其 IP)访问特定网站的 snort 规则,到目前为止一直在尝试。 alert tcp any any <> 'ipaddress' any (content: "web u
每当有人访问类似结构的 URL 时,我想在 snort 中生成一个事件 site/year2015.pdf site/year2014.pdf : : site/year2000.pdf 我考虑使用
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。 我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题,以便
我试图在 CentOS 6.4 上测试 snort 2.9.4,但在控制台上看不到任何警报。我使用以下命令运行它: snort -i eth2 -c/etc/snort/snort.conf eth2
我有一个带有 snort 设置的新实例。当我试图查看警报日志时,我注意到该目录没有/var/log/snort/alert 文件。我试图触摸这个文件并通过 chmod 为我的 snort 用户提供读写
我正在尝试在 Python 中使用正则表达式从 snort 警报文件中解析出源、目标(IP 和端口)和时间戳。示例如下: 03/09-14:10:43.323717 [**] [1:2008015:
我在创建 snort makefile 时收到此错误消息? /usr/bin/ld: /usr/local/lib/libpcre.a(pcre_compile.o): relocation R_X8
我必须部署基于 Snort 的入侵防御系统。 我在这方面完全是新手,所以任何形式的帮助,对于初学者的引用将不胜感激。 snort 文档还讨论了 Honeynet Snort Inline Toolki
我目前正在为一个项目测试 Snort IDS,我遵循了 Snort 2.9.5.3 安装指南。我在正确配置 http_inspect 以便它发出流量警报时遇到问题。 Snort 正在监控的(虚拟)网络
我知道如何使用编写的动态规则配置和运行 snort。 我知道一些处理阶段,如解码、预处理器、动态规则匹配、输出插件等。 我使用 snort 作为内联模式。我想知道从数据包到 snort 到数据包被传送
我目前正在尝试使用 Raspberry Pi。我正在运行 Snort,这是一种数据包检测软件。在 Snort 发出警报的情况下,我想执行一个 (Python) 脚本。 Snort 在树莓派上执行如下:
我不明白为什么以下规则没有检测到内容“unescape”: alert tcp any any -> any any (msg:"example 1";flow:to_client,establi
最近我用 OpenWRT 替换了我的路由器操作系统,并在上面安装了 snort(2.9): opkg install snort 我在 /etc/snort/rules/local.rules 中唯一
我为 snort 安装了 barnyard2,但是当我运行下面的命令时出现这个错误。 [root@localhost snort]# barnyard2 -c /etc/snort/barnyard2
我那里有问题。我已在 CentOS 7 服务器上安装了 Snort,并希望使用 PulledPork 作为规则源。非常基本的东西... 配置的 PulledPork 配置: # What path y
我正在使用“snort_inline”并且我转发了所有使用的数据包iptables 到 QUEUE 以便 snort_inline 可以接他们根据规则进行检查和丢弃/警报。但是“Snort”在内联模式
我需要 Regex 向导的帮助。我正在尝试编写一个简单的解析器,它可以标记 Snort 规则(Snort,IDS/IPS 软件)的选项列表。问题是,我似乎无法找到一个可行的公式来根据终止分号将各个规则
是否有任何 Java API 或类可以在 Java 代码中使用,从而无需使用 Snort 日志文件即可实时检测 Snort 警报?换句话说,Snort 是否可以发送可由服务器进程接收的警报,而不是将它
我是一名优秀的程序员,十分优秀!