Num 1
$ alert tcp any $HTTP_Ports -> any 1024: (msg: "Detection"; content: "version"; content: "location"; within: 100; sid:1000001;)
- HTTP_Ports로 정의된 포트로부터 1024번 이상 포트로 나가는 패킷에 대해
- "version" 패턴과 일치하는 곳 기점 1,000byte 내에 "location" 패턴 나오면
- msg에 정의된 내용으로 경보 발생
Num 2
$ alert tcp any any -> any 5555
(msg: "Detection"; content: "|1111|"; offset: 4; depth: 12;
content: "|0000|"; distance: 2; within: 4;
content: "|0000|"; distance: 2; within: 4;
content: "|0000|"; distance: 2; within: 4;
content: "|0000|"; distance: 2; within: 4; sid:1000001;)
- 5555번 포트로 나가는 패킷에 대해
- 시작에서 4-12byte 떨어진 곳에 "|1111|" 패턴 일치
- cotent를 찾은 곳에서 2-4byte 떨어진 곳에 |0000|" 발견
- 3번 더 패킷 일치
- msg에 정의된 내용으로 경보 발생
Num 3
- HTTP_Ports로 정의된 포트로 나가는 패킷에 대해
- "|0000|"로 시작
- 36byte 떨어진 지점에서 4byte 내에 "|1111|" 문자열 포함되어 있는 지점에서 "|2222|" 패턴 매칭 검사
-
