Sind diese Snort-Regeln überflüssig?

566
T.D. Smith

Ich habe die Community.Rules durchgesehen, die auf der Snort-Webseite zur Verfügung gestellt wurden, und habe diese beiden Regeln beachtet:

Rule @ line 2643: alert udp $HOME_NET any -> any 53 (msg:"BLACKLIST DNS request for known malware domain documents.myPicture.info"; flow:to_server; byte_test:1,!&,0xF8,2; content:"|09|documents|09|myPicture|04|info|00|"; fast_pattern:only; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service dns; reference:url,fireeye.com/blog/technical/2013/08/survival-of-the-fittest-new-york-times-attackers-evolve-quickly.html; classtype:trojan-activity; sid:27625; rev:2;)   Rule @ line 2644: alert udp $HOME_NET any -> any 53 (msg:"BLACKLIST DNS request for known malware domain ftp.documents.myPicture.info"; flow:to_server; byte_test:1,!&,0xF8,2; content:"|03|ftp|09|documents|09|myPicture|04|info|00|"; fast_pattern:only; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service dns; reference:url,fireeye.com/blog/technical/2013/08/survival-of-the-fittest-new-york-times-attackers-evolve-quickly.html; classtype:trojan-activity; sid:27626; rev:2;)

Macht die contentOption in der ersten Regel ( |09|documents|09|myPicture|04|info|00|) die 2. Regel nicht überflüssig? Das heißt, die 1. Regel wird immer ausgelöst, wenn die 2. Regel dies tut, weil ihre contentOption eine Unterzeichenfolge der 2. contentOption ist ( |03|ftp|09|documents|09|myPicture|04|info|00|).

1

1 Antwort auf die Frage

0
T.D. Smith

Diese Regeln wurden von der Snort-Mailingliste in diesem Austausch als überflüssig bestätigt .

Hast du eine Quelle? Canadian Luke vor 9 Jahren 0
Siehe das Archiv der E-Mail-Liste der Snort-Regeln: http://marc.info/?l=snort-sigs&m=143507194315044&w=2 T.D. Smith vor 9 Jahren 0

Verwandte Probleme