当前位置: 技术问答>linux和unix
请教snort中dynamic的count用法?
来源: 互联网 发布时间:2016-08-09
本文导语: 各位大侠们,小弟刚学snort,遇到一些问题,在此向各位求教。 activate tcp any any -> $MY_WEB 80 (content:"Host: 127.0.0.1";uricontent:"/";activates: 1; sid:11122333 dynamic tcp any any -> $MY_WEB 80 (content:"Host: 127.0.0.1";content:"/style/cs...
各位大侠们,小弟刚学snort,遇到一些问题,在此向各位求教。
activate tcp any any -> $MY_WEB 80 (content:"Host: 127.0.0.1";uricontent:"/";activates: 1; sid:11122333
dynamic tcp any any -> $MY_WEB 80 (content:"Host: 127.0.0.1";content:"/style/css.css";activated_by: 1; count: 100;sid:11122334
这是一个activate和dynamic的规则对,当activate满足时,自动激活dynamic。请问其中的count是什么意思?是把当前的数据包记录100次,还是记录100个数据包?
如果是连接记录100个数据包,那我把它设置1,是不是记录一次后就自动处于空闲状态。
另外,如果我activate的规则连续满足(在一定的条件下)多次,那这个count是累加还是只以最后一次为准?这些dynamic是如何运行的?谢谢。
小弟刚学这个,版本是2.8.4,主流程也看懂了,但是对数据据检测这块还不懂,就是一个数据来了(解包,具体调用TCP/UDP/ICMP/IP来处理也懂了,就是后来的具体匹配规则没有看懂)如何处理没有懂,如果谁有这方面的详细资料,能否给我发一下啊(刘大林的好像不行,就不要发了)wcqgm980532@163.com.小弟在此谢谢了。
activate tcp any any -> $MY_WEB 80 (content:"Host: 127.0.0.1";uricontent:"/";activates: 1; sid:11122333
dynamic tcp any any -> $MY_WEB 80 (content:"Host: 127.0.0.1";content:"/style/css.css";activated_by: 1; count: 100;sid:11122334
这是一个activate和dynamic的规则对,当activate满足时,自动激活dynamic。请问其中的count是什么意思?是把当前的数据包记录100次,还是记录100个数据包?
如果是连接记录100个数据包,那我把它设置1,是不是记录一次后就自动处于空闲状态。
另外,如果我activate的规则连续满足(在一定的条件下)多次,那这个count是累加还是只以最后一次为准?这些dynamic是如何运行的?谢谢。
小弟刚学这个,版本是2.8.4,主流程也看懂了,但是对数据据检测这块还不懂,就是一个数据来了(解包,具体调用TCP/UDP/ICMP/IP来处理也懂了,就是后来的具体匹配规则没有看懂)如何处理没有懂,如果谁有这方面的详细资料,能否给我发一下啊(刘大林的好像不行,就不要发了)wcqgm980532@163.com.小弟在此谢谢了。
|
我不会。
|
帮顶
|
太专业了。
|
路过~~学习一下!
|
太专业了 楼主加油啊
|
LZ分享点资料与经验啊 期待~~
您可能感兴趣的文章:
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。