Devo occuparmi di Surikata IDS e del suo set di regole snort-compatibili. Parzialmente ho bisogno in modalità IPS per fare modifiche al traffico in uscita. Per ora le mie "modifiche" hanno questo aspetto:
...
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:102; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:103; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:104; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:105; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:106; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:107; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:108; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:109; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:110; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:111; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:112; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:113; )
...
... che è terribile. Perché suricata sostituisce solo la prima occorrenza di "contenuto" nel pacchetto tcp. C'è un modo per evitare questo gruppo di regole identiche?
P.S Come al solito, suppongo, io uso NFQ per ottenere pacchetti rilevanti.