Sto lavorando con comandi che sono già stati testati per funzionare ma non funzionano al momento.
Questo è il mio file di configurazione:
alert tcp any any <> any any (msg: "/etc/passwd Payload Found"; content: "/etc/passwd/"; sid: 69;)
Funziona. Genera un avviso.
Uso snort per mettere il file di avviso in una directory di registro
snort -r FRAG3z.pcap -c frag3.conf -dev -l log -d -q
Eseguo il comando snort e vado nella directory dei log e il mio avviso è presente. Quindi apro l'avviso ed è completamente vuoto. Qualcuno ha qualche idea.