如何解决用Snort规则检测Base64编码
我正在尝试将以下Regex合并到snort规则中,以检测出站ICMP通信中的base64:^-A-Za-z0-9+/=]|=[^=]|={3,}$
我自己没有写这个表达式,但是我对其进行了测试,它似乎可以在http://regexe.com/中正常工作。
打ort规则:alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:“Base64 detected in outbound ICMP traffic (possible ICMP tunnelling!)";pcre"^-A-Za-z0-9+/=]|=[^=]|={3,}$";)
我了解snort使用Perl兼容正则表达式可以解释这个差异,但是我不够熟练,无法找出需要更改的内容来解决此问题。将此规则添加到/etc/snort/rules/local.rules file时,出现以下错误:ERROR: /etc/snort/rules/local.rules Line 8 => unable to parse pcre regex "^-A-Za-z0-9+/=]|=[^=]|={3,}$"
有人可以协助吗?
此致
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
