Я хочу проверить ключевое слово с содержимым пакета в snort, но не статическое слово.
Я хочу, чтобы он был динамическим, например, получить терминал формы этого ключевого слова в Ubuntu.
alert tcp any any -> any any (msg:" your content found"; sid:100000; content:"something to find"; )
Эти коды используются для статического значения.
Поделитесь своими идеями, пожалуйста.
Спасибо.
Я думаю, что единственный способ добиться чего-то подобного — использовать правило общего объекта. Я не верю, что есть другой способ сделать это. Правила для общих объектов — одна из самых сложных вещей для реализации в правилах snort, но с ними, безусловно, можно сделать что-то подобное. Я рекомендую прочитать эту запись в блоге о том, как использовать общие правила объекта.
Как насчет сценария-оболочки, который принимает правило через консоль, записывает его в файл правил, а затем перезагружает snort?
