snort потоковые биты и правила тегов не работают

У меня есть следующие два правила

alert tcp any any -> 192.168.2.105 80 (msg:"test-tag"; sid:10000;flow:from_client;flowbits:set,http;tag:session,exclusive;)

alert tcp 192.168.2.105 80 -> any any (msg:"test-triggered";sid:10001;flowbits:isset,http;tag:session,exclusive;)

затем я использовал curl на другом компьютере, чтобы отправить запрос на 192.168.2.105:80, и я вижу, что сработало первое правило оповещения; но второе правило оповещения не сработало, я не знаю, почему. Может ли кто-нибудь помочь мне с этим? Спасибо.


snort
person user1072898    schedule 26.05.2016    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Поток связи был от любого IP-адреса с любым портом к 192.168.2.105 порту 80. Второе правило определяет поток от 192.168.2.105 80 к любому IP-адресу с любым портом.

Если вы изменили -> на ‹> в обоих правилах, они оба должны вызвать предупреждение.

person Dann    schedule 04.07.2016