部分snort规则后的/smi是什么意思?

最新推荐文章于 2024-02-29 13:55:34 发布
最新推荐文章于 2024-02-29 13:55:34 发布
阅读量1.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/89470968
版权

前几天在分析imap的漏洞时发现涉及的snort规则频繁出现/smi
大概如下图所示
在这里插入图片描述
pcre是snort中用于正则匹配的,//之间的是内容,那第二个/之后的smi表示的是匹配数据流中信息?
一开始解析时我是这么理解的。
结果今天碰到了这条
在这里插入图片描述
emmm,节奏不对了
后来查到资料了
在这里插入图片描述一个大佬从源码层级给出解释
在这里插入图片描述这也看不懂啊,还好另一个大佬来了
这就清楚了

i表示不区分大小写,s表示包括.元字符的换行符,默认情况下,字符串被视为一大行字符。^和$在字符串的开头和结尾匹配。当m被置位时,^和$匹配紧接在缓冲区中的任何换行符之后或之前,或者缓冲区的开始和结束
smi就是三者组合后的意思

Elwood Ying
关注
SNORT3规则编写
windStudyer的专栏
03-01 9130
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号中包含的部分包含规则选项。规则选项部分中冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
IDS入侵检测系统与开源IDS-snort的安装与编写规则
weixin_64655821的博客
10-01 4510
IDS入侵检测系统与开源IDS-snort的安装与编写规则
ftp协议类漏洞研究-结合snort(一)
Yale的博客
04-18 2584
cve-2004-1166 漏洞描述: Microsoft Internet Explorer 6.0.2800.1106及更早版本中的CRLF注入漏洞允许远程攻击者通过ftp:// URL执行任意FTP命令,该URL在ftp command之前包含一个URL编码的换行符(“%0a”),这会导致命令插入到生成的FTP会话中,如使用PORT command所示。 此漏洞是由于ASCII控制字符处理不...
Snort Rules——使用pcre进行规则匹配
Coco_T的博客
03-27 3268
题目描述 if snort see two packets in a TCP flow with first packet has " login " or " Initial " in payload, destination port is 3399; and second packet has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload. destination port is 3399; output a aler.
snort 基本关键字
thebestismin的专栏
03-06 1172
11、fast_pattern(suricata对只有一个content关键字的规则使用多模匹配,而对于多个content的规则就对最长对复杂的一个进行多模匹配,而fast_pattern则可以改变这个状况,如果在较短较简单的content字段后加上fast_pattern关键字则会优先匹配这个content,有时这种方法可以有效提升效率。下面这个例子比较清楚的描述了within的用法,匹配完”abc”之后位置在’d’处,从’d’开始的3字节内对”def”进行匹配,而”fgh”明显已经超出了3字节的偏移)
snort2.9规则-学习笔记
weixin_44813582的博客
05-07 7705
目录 规则动作 协议部分 Ip地址 端口号 方向操作符 规则选项 general rule options payload detection rule options non-payload detection rule options post-detection rule options 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则...
Snort IDS+Snort2.9.20+规则文档(windows11适用,但需要修改conf)
11-01
2. `snortrules-snapshot-29200.tar.gz`: 这是一个包含Snort规则的归档文件。解压后,它会提供一个规则集合,这些规则是用于检测不同类型的网络攻击。在Snort运行之前,你需要将这些规则集成到Snort的配置中。 对于...
Snort rules概述
Adminxe的博客
05-03 1025
0x01 前言 今天看到小伙伴说面试过程中碰到面试官问Snort规则问题,然后找了下资料,整理了一下,来做一下分享,如果涉及侵权,请联系我删除,这边只做公益分享。 0x02 Snort rules 知识总结 Snort规则被分成两个逻辑部分规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分规则...
snort规则pcre规则选项
黄粱一梦
02-29 513
设置正则检测引擎检测的数据长度和递归检测的次数检测限制信息(DETECT_PCRE_MATCH_LIMIT)(可通过配置文件配置大小)正则表达式为针对http_client_body的检测。正则表达式为针对http_raw_header的检测。正则表达式为针对http_stat_code的检测。正则表达式为针对http_stat_msg的检测。正则表达式为针对http_raw_uri的检测。正则表达式为针对http_header的检测。正则表达式为针对http_method的检测。
分享国外安全团队及工具
专注企业信息安全-sec
03-19 1万+
名称 版 描述 主页 0trace 1.5 跳跃枚举工具 http://jon.oberheide.org/0trace/ 3proxy 0.7.1.1 微小的免费代理服务器。 http://3proxy.ru/ 3proxy-win32的 0.7.1....
snort学习以及规则编写
fa1lr4in的小博客
03-27 3012
一、结构 CIDF模型(Common Intrusion Detection Framework): 包含事 件生成器(event generator:E-boxes),分析引擎(analysis engines:A-boxes),存储机制(storage mechanisms:D-boxes),以及响应模块(countermeasures:C-boxes) SNORT数据流 snort ...
SNORT入侵检测系统
12-06 3094
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日...
Snort规则入门学习
qq_57035765的博客
03-22 7693
Snort规则学习 入门引言 从一条简单的snort规则开始 alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";) snort 每条规则都可以分成逻辑上的两个部分规则头(header)和规则选项(General Option) 从开头到括号前属于规则部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起
Snort规则分析举例
weixin_33775582的博客
09-11 2551
2019独角兽企业重金招聘Python工程师标准>>> ...
snort规则--flow分析
程序狗的成长之路
07-30 5291
1. 1 flow:   这个选项要和TCP流重建联合使用。它允许规则只应用到流量流的某个方向上。这将允许规则只应用到客户端或者服务器端。这将能把内网客户端流览web页面的数据包和内网服务器所发送的数据包区分开来。这个确定的关键字能够代替标志:A+ 这个标志在显示已建立的TCP连接时都将被使用。
Snort IPS入侵防御系统模式
我回来了,就要有回来的意义
03-29 1万+
snort 经常用作入侵检测系统(IDS),进一步可以配置为入侵防御系统(IPS)。snort使用数据采集器(daq)监听防火墙数据包队列,配合snort规则动作drop、alert等处理数据包,防火墙在snort启动后添加链表队列。报文经过防火墙时,将交给snort来处理,触发入侵检测规则时立刻响应动作,屏蔽数据包。其实,入侵防御系统应该直连在网络环境当中,需要配置网桥。snort监听网桥的功能,防火墙更加要支持网桥,网桥也可以配置成透明的模式。这里只是简单的尝试snort的IPS模式,配置在单机上,屏蔽
Snort 命令参数详解
热门推荐
可木的专栏
10-24 1万+
用法:        snort -[options] 选项: -A      设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。 -b    用二进制文件保存网络数据包,以应付高吞吐量的网络。 -B    将IP地址信息抹掉,去隐私化。 -c    使用配置文件,这会使得snort进入IDS模式,并从中读取运行的配置信息。 -d
vim/etc/snort/rules/local.rules
最新发布
07-11
`vim /etc/snort/rules/local.rules` 是一个命令,用于打开Linux系统上的Snort防火墙规则文件(通常在Snort配置目录中)。Snort是一款网络入侵检测系统(NIDS),而`local.rules` 文件是用户自定义的规则集,它允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值