У меня есть правило не обнаружения snort в pcap. В некоторых файлах pcap это правило обнаруживается, в некоторых - нет. Я перепробовал множество возможных вариантов, но не обнаружил. Может, если кто-то поможет мне, должно быть хорошо ;-)
Вот правило, которое обнаруживается на 2 файлах pcap.
alert ip any any <> any any (msg: "TEST 1"; content: "forum.php"; nocase; classtype: trojan-activity; sid: 6000003; rev: 0;)
Это правило не обнаруживается с двумя другими файлами pcap. Wireshark показывает мне, что forum.php находится внутри не обнаруженного pcap
В чем проблема ?
Спасибо за помощь