snort：連続するパケットをキャプチャするための1つまたは複数のルールを書く方法は？

Question

は、私がこの

のアラートのtcp A_IPのようなルールがあるとどんな - > B_IP 80（MSG： "テスト"; SID：10000;）

この本をトリガーB_IPへA_IPから最初のパケットを記録しますルール;私がしたいのは、パケットがルールをトリガするときです。ルールは、A_IPからB_IPとB_IPからA_IPへの連続する双方向パケットを記録する必要があります。どうやってやるの？ flowbitsとタグはこれを行うことができますか？おかげ

Answer 1

あなたは、動的ルールでこれを行うことができます：

activate tcp 192.168.10.10 any -> 192.168.20.20 80 (activates:1; msg:"test", sid:10000';) 

dynamic tcp 192.168.10.10 any <> 192.168.20.20 80 (activated_by:1; count:50;) 

これは、ポート80に192.168.20.20に192.168.10.10からヒットするパケットを待つことになるとそれが起こるときには、ログに記録するダイナミックなルールをアクティブにします次の50パケットは双方向的にbiになります。