Я пытаюсь создать правило snort, которое извлекает только первый GET-запрос.
Текущий синтаксис:
alert tcp 10.3.16.101 any -> any any (msg: "Первый запрос GET "; содержимое:" GET "; http_method; sid: 100001; rev: 1;)
, который возвращает 3 результата. Я могу добавить в http_uri некоторое содержимое из файла PCAP, но оно не может успешно вернуть то, что я ищу.
Есть ли способ фильтрации для отображения первого, среднего, последнего запроса?