Правило suricata с заголовком FTP

Question

Правило suricata с заголовком FTP

Почему это простое правило не работает

alert ftp any any -> any any (msg:"FILE PDF file claimed";
fileext:"pdf"; filestore; sid:2; rev:1;)

Он не может обнаружить какой-либо PDF-файл, транспортируемый filezela в качестве примера

0

suricata

Источник

user5803757 16 сен '18 в 01:44

1 ответ

Другие вопросы по тегам suricata

user2191105 17 сен '18 в 12:04 2018-09-17 12:04 · Answer 1 · 2018-09-17 12:04

Наиболее вероятный ответ заключается в том, что при обнаружении динамического протокола не удается определить соединение как FTP. Вы можете начать с чего-то более простого. Чтобы увидеть, видит ли детектор протокола это соединение как FTP, вы можете попробовать это:

 alert ftp any any -> any any

Без параметров правила это должно генерировать оповещение для каждого пакета в потоке после обнаружения FTP.