【发布时间】:2019-04-01 08:58:59
【问题描述】:
我想在 IDS 中导入一个 snort 规则。
alert tcp any any -> any any (msg:"FOX-IT - Trojan - Possible CobaltStrike C2 Server";
flow:to_client;
content:"HTTP/1.1 200 OK |0d0a|"; fast_pattern; depth:18;
content:"Date: ";
pcre:"/^HTTP/1.1 200 OK \r\nContent-Type: [^\r\n]{0,100}\r\nDate: [^\r\n]{0,100} GMT\r\n(Content-Length: \d+\r\n)\r\n/";
threshold:type limit, track by_dst, count 1, seconds 600;
classtype:trojan-activity; priority:2;
sid:21002217; rev:3;)
我得到错误:
验证失败:PCRE 令牌无效或不受支持:[...] 错误: 不受支持的 PCRE 语法:在 '.' 处缺少 EOF
当我从
编辑 PCRE 时pcre:"/^HTTP/1.1 200 OK \r\nContent-Type: [^\r\n]{0,100}\r\nDate: [^\r\n]{0,100} GMT\r\n(Content-Length: \d+\r\n)\r\n/";
到
pcre:"/^HTTP 200 OK \r\nContent-Type: [^\r\n]{0,100}\r\nDate: [^\r\n]{0,100} GMT\r\n(Content-Length: \d+\r\n)\r\n/";
(所以删除/1.1),它说语法是有效的。
我该如何解决这个问题?
【问题讨论】:
-
看起来
HTTP之后的反斜杠应该被转义。你要导入什么IDS和什么版本?我会在早上给你发消息给规则作者(一位同事)。