Я хочу захватить любое совпадение в содержании (например, "ABC") K-первых пакетов потока, используя Snort.Мои вопросы:
Как мне отличить пакеты от разных потоков?Является ли опция «потоком» (с аргументами типа «to_client» и т. Д. - это все, что Snort может дать мне о потоке, или больше)?
Как установитьсчетчик для проверки не всех пакетов, связанных с потоком, а только первых k-пакетов.Например, я ищу совпадение только в первых 6 пакетах потока (это отличается от 6 байтов каждого пакета).
[*] Мне нужно знать все возможные опции, которые я могу установить такими правилами:)
Спасибо