Snort -规则:警告所有php请求

Question

我正在努力理解snort的写作规则。进一步的目标是检测像这里这样的sql注入。

我阅读了snort规则的文档并创建了以下规则：

alert tcp any any -> any 80 (msg:"SQL Injection - Paranoid"; content:".php"; http_raw_header; sid:51233333;)

在/etc/snort/rules/mysql.Rule中，这是从/etc/snort/snort.conf中刷新的。我原以为这个规则会提醒每个调用一个php，但是没有任何记录。我还尝试了http_header和http_uri，而不是http_raw_header。我这样称呼snort：

sudo snort -A console -c /etc/snort/snort.conf

有人能告诉我如何通过HTTP记录".php“的每一个调用吗？然后我就可以继续下一步了。

关于我的环境的更多信息: Snort正在以ubuntu15.04作为操作系统在虚拟盒中运行。网络是为所有VM启用的桥接和混杂模式。在同一个VM中，使用虎耳草科运行XAMPP，应该受到攻击。如果您需要更多的信息，请告诉我！如有任何建议，将不胜感激！谢谢!

Answer 1

不知道这有多大帮助，但你试过了吗？

<?php

作为你的内容。未测我只亲自为uni项目使用snort+snortsam设置了TCP DDoS块。

还请检查您是否在conf文件中定义了正确的NIC。

希望有人能给你一个更直接的答案。