bluekrystal的博客

i)st (?i)打开不区分大小写的模式，(?-i)关闭不区分大小写的模式。[0-9]+) 匹配的是红色部分，匹配runoob，但后面不是数字。上述正则可以匹配test,Test,TEst，但不匹配teST。exp2) 查找后面不是exp2的exp1。

depth修改了规则中先前的“content"关键字，depth 5会使snort仅在payload的前5个字节内查找指定的模式。within也是一个修饰content的关键字，他表示从上一个content匹配位置之后的指定字节内对当前的content进行匹配，within的值不能为0。下面这个例子比较清楚的描述了within的用法，匹配完”abc”之后位置在’d’处，从’d’开始的3字节内对”def”进行匹配，而”fgh”明显已经超出了3字节的偏移.2.3 http_uri和http_raw_uri。