Назад | Перейти на главную страницу

Обнаружение правил Snort

У меня есть правило не обнаружения snort в pcap. В некоторых файлах pcap это правило обнаруживается, в некоторых - нет. Я перепробовал множество возможных вариантов, но не обнаружил. Может, если кто-то поможет мне, должно быть хорошо ;-)

Вот правило, которое обнаруживается на 2 файлах pcap.

alert ip any any <> any any (msg: "TEST 1"; content: "forum.php"; nocase; classtype: trojan-activity; sid: 6000003; rev: 0;)

Это правило не обнаруживается с двумя другими файлами pcap. Wireshark показывает мне, что forum.php находится внутри не обнаруженного pcap

В чем проблема ?

Спасибо за помощь