请教snort问题
请问snort可以检测到服务器跟客户端双方向中的HTTP流量中的内容吗
例如我想查找客户跟服务器双向数据库流中的4ngel.net这个字符
我规则是这样写的大家看一下有什么错误吗?
说白了就是检测websehll,利用webshell的特征.
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"----- angel backdoor ----"; flow:from_server; content:"4ngel.com"; sid:13512
或者
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"----- angel backdoor ----"; flow:to_server; content:"4ngel.com"; sid:13512
怎么都不对啊,没有检测到,请教这里的高手了
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论