alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"MALWARE-BACKDOOR access remote pc runtime detection - init connection"; flow:to_server,established; content:"|99 F3 00 00 00 00 00 00 FF FF FF FF|"; depth:12; flowbits:set,AccessRemotePC_detection; flowbits:noalert; classtype:trojan-activity; sid:12142; rev:3;)
Sarà " alert " su qualsiasi connessione TCP da una rete esterna a una rete interna (DMZ) a condizione che il contenuto del pacchetto corrisponda a 99 F3 00 00 00 00 00 00 FF FF FF FF '(che corrisponde a BackoffPOS 1.56 modulo di iniezione di processo).
Mentre c'è più alla regola; profondità, impostando i flussi su una classe predefinita (AccessRemotePC_detection; utilizzata per semplificare i rapporti) e "classtype", in termini più semplici è la suddivisione delle regole.
Leggi altre domande sui tag snort