rilevamento parola chiave regola snort

0

Sono nuovo per sbuffare e vorrei un aiuto.

Ho modificato la classificazione.config, aggiunta una nuova riga

config classification: hello,hello is detected ,1

Ho avuto un payload ciao.pdf, la macchina ha scaricato il file, ma snort non sta rilevando / avvisando ecco la mia regola di snort in local.rules

alert tcp $HOME_NET any -> any any (msg:"hello is detected"; flow: established; content: "hello"; nocase; classtype: hello; sid:10000019; rev: 2;)
    
posta fypg 07.02.2017 - 04:53
fonte

0 risposte

Leggi altre domande sui tag