【发布时间】:2018-11-19 07:28:59
【问题描述】:
我是 IDS 签名调整的新手。所以在学习签名的同时;在签名中,我遇到了签名触发警报的“内容”部分。现在,当我在内容中看到某些内容时(下面的示例);怎么破译?
内容:"x|00|p|00|_|00|c|00|m|00|d|00|s|00|h|00|e|00|l|00|l|00| "
【问题讨论】:
标签: snort intrusion-detection network-security suricata
【发布时间】:2018-11-19 07:28:59
【问题描述】:
如果您收到 |00 00| 内容匹配的警报
这意味着它的字节00 00中包含的网络数据包数据。
|47 45 54| 将是数据包中GET 的内容匹配。
【讨论】:
如果您正在查找的是 Suricata,那么 documentation 提到任何十六进制值都应该放在管道中。
例如,要在签名的内容中写入 http://,您 应该这样写:内容:“http|3A|//”;如果你使用十六进制 签名中的符号,请确保始终将其放在管道之间。 否则,符号将被视为内容的一部分。
随之,您可以破译内容在多个地方的管道中有 00。 因此,内容字符串实际上翻译为“xp_cmdshell”
如果您想找出它在数据包中匹配的位置,您需要从警报中提供更多详细信息。
【讨论】: