如何解决Zeek签名中规则定义重复错误？

Question

我在学zeek签名

签名文件名: dns.sig

    signature dns-intel{
ip-proto == udp
dst-port == 53
payload /.*life|.*bar/
event "[Suspicious DNS Query]" }

Zeek文件名: myfirst.zeek

event signature_match (state: signature_state, msg: string, data: string) {
    if (state$sig_id == "dns-intel") {
        print fmt ("[Suspicious DNS query] %s", state$conn$dns$query)
    }

我在第5行遇到错误:规则定义了两次。这里有什么问题?？

Answer 1

根据您的错误码，签名id必须是唯一的：

第5行出现

错误:规则定义了两次。这里有什么问题?？

可能的情况是，您在dns.sig文件中使用相同的id：dns-intel定义了多个签名。

修改你的dns.sig文件，确保每个签名都有一个唯一的id可以修复这个错误。

我在我的本地机器上测试了你的签名和脚本，可以正常运行。