为什么这个snort规则缺少EOF在‘’。
为什么这个snort规则缺少EOF在‘’。
提问于 2019-04-01 08:58:59
我想在IDS中导入snort规则。
alert tcp any any -> any any (msg:"FOX-IT - Trojan - Possible CobaltStrike C2 Server";
flow:to_client;
content:"HTTP/1.1 200 OK |0d0a|"; fast_pattern; depth:18;
content:"Date: ";
pcre:"/^HTTP/1.1 200 OK \r\nContent-Type: [^\r\n]{0,100}\r\nDate: [^\r\n]{0,100} GMT\r\n(Content-Length: \d+\r\n)\r\n/";
threshold:type limit, track by_dst, count 1, seconds 600;
classtype:trojan-activity; priority:2;
sid:21002217; rev:3;)我知道错误:
验证失败:无效或不支持PCRE令牌:错误:不支持PCRE语法:缺少在'.‘处的EOF
当我编辑PCRE时
pcre:"/^HTTP/1.1 200 OK \r\nContent-Type: [^\r\n]{0,100}\r\nDate: [^\r\n]{0,100} GMT\r\n(Content-Length: \d+\r\n)\r\n/";至
pcre:"/^HTTP 200 OK \r\nContent-Type: [^\r\n]{0,100}\r\nDate: [^\r\n]{0,100} GMT\r\n(Content-Length: \d+\r\n)\r\n/";(因此删除了/1.1),它说语法是有效的。
我怎么才能解决这个问题?
回答 1
Stack Overflow用户
发布于 2019-04-14 00:08:13
您的问题在于HTTP报头:
/^HTTP/1.1 200...PCRE使用正斜杠分隔。你无意中在你的表情中留下了一个空白处。此外,你有一个点,你很可能不是故意的。您将希望进行调整,例如:
/^HTTP\/1\.1 200...页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/55451391
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号