1
Snort가 트래픽을 수신하고 있지만 규칙을 적용하지 않는 것 같습니다.
내 로컬에서 NFQUEUE를 통해 인라인 모드로 snort를 설치하고 실행했습니다 (다음 방을 걷고 터치 할 수 있음). 내 규칙은 다음과 같습니다 /etc/snort/rules/snort.rules. alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;) 이 규칙은 …