Я новичок в snort и пробую правила сообщества для snort, и одно из правил упомянуто ниже:
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"PROTOCOL-FTP ADMw0rm ftp login attempt";
flow:to_server,established;
content:"USER"; nocase; content:"w0rm";
distance:1; nocase; pcre:"/^USER\s+w0rm/smi";
metadata:ruleset community, service ftp;
classtype:suspicious-login; sid:144; rev:16;)
Если я удаляю тег flow:to_server, established..., правило работает.Может кто-нибудь сказать, пожалуйста, почему он вообще не работает?