Я пытаюсь написать правило фырканья, которое включает биты потока. Идея состоит в том, что оповещение возникает не при первом приеме пакета, а только в том случае, если пакет получен дважды (повышать оповещение только один раз при получении только второго пакета). Я не нахожу четких указаний на то, как использовать flowbits в этом случае. Я нашел правило, которое, кажется, выполняет эту работу в /etc/snort/rules/web-client.rules (см. Ниже), но мне не очень понятно, как оно действительно работает.
alert tcp $ EXTERNAL_NET any -> $ HTTP_SERVERS 443 (msg: «WEB-MISC SSLv2 Client_Hello с запросом пэда»; поток: to_server, установлен;sslv3.client_hello.request; flowbits: isnotset, tlsv1.client_hello.request; byte_test: 1, <, 128,0; содержимое: "| 01 |"; глубина: 1; смещение: 3; содержимое: "| 00 02 |"; глубина: 2; смещение: 6; flowbits: set, sslv2.client_hello.request; flowbits: noalert; classtype: protocol-command-decode; sid: 2659; rev: 4;) </p>
Любое объяснениеПредыдущее правило и идея приветствуются. Спасибо