alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Get2 method"; flow: to_server, established; dsize: >20; sid:1000006; priority: 15)
Snort non genera alcun avviso, mentre quando scrivo la seguente regola:
alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Get1 method"; flow: to_server, established; dsize: <20; sid:1000005; priority: 15)
genera un avviso
Come recita il manuale di Snort:
The dsize keyword is used to test the packet payload size. This may be used to check for abnormally sized packets that might cause buffer overflows.
This example looks for a dsize that is between 300 and 400 bytes.
dsize:300<>400;
Quindi, questa configurazione sta causando la generazione e la non generazione dell'avviso.
Leggi altre domande sui tag snort