Я пытаюсь написать правило Snort для обнаружения доступа к snort.org.Первое правило:
alert tcp [104.18.138.9,104.18.139.9] 443 -> $HOME_NET any \
(msg:"TCP packet from snort.org"; \
sid:10000000004; classtype:not-suspicious;)
Работает нормально.Однако, когда я меняю направление, ничего не происходит.
alert tcp $HOME_NET any -> [104.18.138.9,104.18.139.9] 443 \
(msg:"Access to snort.org"; \
sid:1000000232; classtype:not-suspicious;)
При доступе к сайту оповещение не генерируется.Что может пойти не так?