假设我有这样的规则
警报 TCP A_IP任何 -> B_IP 80 (消息:"测试"; SID:10000;)
这将记录触发此规则的第一个数据包,从A_IP到B_IP;我想做的是,当数据包触发规则时,该规则应记录从A_IP到B_IP和B_IP到A_IP的连续双向数据包。我该怎么做?流位和标签可以做到这一点吗?谢谢
您可以使用动态规则执行此操作:
activate tcp 192.168.10.10 any -> 192.168.20.20 80 (activates:1; msg:"test", sid:10000';)
dynamic tcp 192.168.10.10 any <> 192.168.20.20 80 (activated_by:1; count:50;)
这将等待端口 80 上从192.168.10.10到192.168.20.20的数据包命中,发生这种情况时,它将激活动态规则,该规则将双向记录接下来的 50 个数据包。