部分snort规则后的/smi是什么意思?

最新推荐文章于 2025-11-03 11:05:03 发布
原创 最新推荐文章于 2025-11-03 11:05:03 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析了Snort规则中的smi参数含义,详细介绍了其在数据流匹配中的作用,尤其是i、s、m标志的具体功能,帮助读者更好地理解和使用Snort进行网络威胁检测。

前几天在分析imap的漏洞时发现涉及的snort规则频繁出现/smi
大概如下图所示
在这里插入图片描述
pcre是snort中用于正则匹配的,//之间的是内容,那第二个/之后的smi表示的是匹配数据流中信息?
一开始解析时我是这么理解的。
结果今天碰到了这条
在这里插入图片描述
emmm,节奏不对了
后来查到资料了
在这里插入图片描述一个大佬从源码层级给出解释
在这里插入图片描述这也看不懂啊,还好另一个大佬来了
这就清楚了

i表示不区分大小写,s表示包括.元字符的换行符,默认情况下,字符串被视为一大行字符。^和$在字符串的开头和结尾匹配。当m被置位时,^和$匹配紧接在缓冲区中的任何换行符之后或之前,或者缓冲区的开始和结束
smi就是三者组合后的意思

Elwood Ying
关注
Snort Rules——使用pcre进行规则匹配
Coco_T的博客
03-27 3382
题目描述 if snort see two packets in a TCP flow with first packet has " login " or " Initial " in payload, destination port is 3399; and second packet has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload. destination port is 3399; output a aler.
snort规则pcre规则选项
黄粱一梦
02-29 572
设置正则检测引擎检测的数据长度和递归检测的次数检测限制信息(DETECT_PCRE_MATCH_LIMIT)(可通过配置文件配置大小)正则表达式为针对http_client_body的检测。正则表达式为针对http_raw_header的检测。正则表达式为针对http_stat_code的检测。正则表达式为针对http_stat_msg的检测。正则表达式为针对http_raw_uri的检测。正则表达式为针对http_header的检测。正则表达式为针对http_method的检测。
ftp协议类漏洞研究-结合snort(一)
Yale的博客
04-18 2649
cve-2004-1166 漏洞描述: Microsoft Internet Explorer 6.0.2800.1106及更早版本中的CRLF注入漏洞允许远程攻击者通过ftp:// URL执行任意FTP命令,该URL在ftp command之前包含一个URL编码的换行符(“%0a”),这会导致命令插入到生成的FTP会话中,如使用PORT command所示。 此漏洞是由于ASCII控制字符处理不...
snort 基本关键字
thebestismin的专栏
03-06 1265
11、fast_pattern(suricata对只有一个content关键字的规则使用多模匹配,而对于多个content的规则就对最长对复杂的一个进行多模匹配,而fast_pattern则可以改变这个状况,如果在较短较简单的content字段后加上fast_pattern关键字则会优先匹配这个content,有时这种方法可以有效提升效率。下面这个例子比较清楚的描述了within的用法,匹配完”abc”之后位置在’d’处,从’d’开始的3字节内对”def”进行匹配,而”fgh”明显已经超出了3字节的偏移)
snort规则
qq_32350719的博客
09-19 1万+
Snort规则被分成两个逻辑部分规则头和规则选项。 规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息; 规则选项部分包含报警消息内容和要检查的包的具体部分。 1. 规则规则动作 在snort中有五种动作:alert、log、pass、activate和dynamic. Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert动作用来在一个...
Snort IDS+Snort2.9.20+规则文档(windows11适用,但需要修改conf)
11-01
2. `snortrules-snapshot-29200.tar.gz`: 这是一个包含Snort规则的归档文件。解压后,它会提供一个规则集合,这些规则是用于检测不同类型的网络攻击。在Snort运行之前,你需要将这些规则集成到Snort的配置中。 对于...
IDS入侵检测系统与开源IDS-snort的安装与编写规则
weixin_64655821的博客
10-01 4702
IDS入侵检测系统与开源IDS-snort的安装与编写规则
【Jetson Xavier NX性能优化秘籍】:系统与应用层面的调优,让你的AI应用飞起来
![【Jetson Xavier NX性能优化秘籍】:系统与应用层面的调优,让你的AI应用飞起来](https://global.discourse-cdn.com/nvidia/original/3X/5/7/57f6ae8415951d40495bab7741ae5199370017f5.png) ...# 1.... ## 1.1 Jets
47、网络安全检测技术综合解析
最新发布
data3的博客
11-03 21
本文综合解析了多种网络安全检测技术,包括自主入侵检测系统、分布式恶意网站检测框架ALICE@home、入侵检测签名的包空间分析以及基于NetMate的流量行为特征化方法。文章详细介绍了各技术的工作原理、性能优势及适用场景,并通过对比表格和实际案例展示了它们在应对复杂网络威胁中的协同作用。最后探讨了未来发展趋势,建议构建多层次防护体系以提升整体网络安全防御能力。
(转载)Snort 2.x数据区搜索规则选项的改进
Kendiv's Box
09-28 3286
Snort 2.x数据区搜索规则选项的改进创建时间:2005-09-27文章属性:原创文章提交:stardust (stardust_at_xfocus.org)Snort 2.x的规则选项与2.0以前的版本相比有了相当大的改进,有必要介绍和分析一下。首先翻译一下Snort使用手册中相关的规则选项说明。由于这个手册写的极烂,很多地方意思表述重复冗长,用词不准确,而且还有些明显的错误,应该仔细说明的
snort-2.9.0.5+daq+libdnet+libpcap+pcre
07-04
基于linux的snort源码,以及所有需要的相关服务,一次下完,安装无忧!注:安装步骤上百度,一搜就有。
一个仿snort的安全工具开发
LainWith的博客
09-29 476
目录前言实现逻辑局限脚本GIF演示 前言 最近碰到一个问题,设备出现40W+的告警信息,涉及300多条规则,如何才能给出一个分析报告呢?或者说我如何把规则匹配到的数据包里的东西展示给对方呢?于是,我开发了这样一个仿Snort的工具。 实现逻辑 它可以直接读取snort规则,然后跟数据包进行匹配。snort规则中最常用到的两个关键字是pcre和content,而content是无需和数据包匹配的,所以只需把提取出的pcre中的内容与数据包中的内容进行比对即可。 脚本会运行两轮,第一轮是直接读取出conte
snortsnort规则编写
cwllll的博客
04-09 1283
【作业】编写snort规则题目题目分析解决办法逻辑或的内容匹配——login 或 Initial两条规则匹配:设置flowbits规则IPV4地址匹配提交答案 题目 题目分析 本次题目对比第一次而言有不少难点: 两条规则 :两条规则同时匹配,才会命中某个报文流; 第一条规则中是对 “login” 或者 “Initial” 进行命中; has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload 第二条规则中的命中则是对一类地址进行匹
snort2.9规则-学习笔记
weixin_44813582的博客
05-07 8059
目录 规则动作 协议部分 Ip地址 端口号 方向操作符 规则选项 general rule options payload detection rule options non-payload detection rule options post-detection rule options 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则...
Snort巧妙检测SQL注入和跨站脚本攻击
Magicbreaker的专栏
03-09 5780
脚本攻击是最近网络上最疯狂的攻击方法了,很多服务器配置了先进的硬件防火墙、多层次的安全体系,可惜最后对80端口的SQL注入和跨站脚本攻击还是没有办法抵御,只能看着数据被恶意入侵者改的面目全非而毫无办法——把你的Snort武装起来吧,用它来检测这样的攻击! 我们将以使用开放源代码的入侵检测系统IDS为例,编写基于规则的正则表达式来对这类攻击进行监测。这里顺便提一下,在Snort中默认的规则设置包含了
SNORT入侵检测系统
12-06 3183
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日...
snort规则编写简述
热门推荐
狂客队长
03-22 2万+
编写snort 规则 snort使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在开发snort规则时要记住几个简单的原则。     第一, 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则被分成两个逻辑部分规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的
snort学习以及规则编写
fa1lr4in的小博客
03-27 3058
一、结构 CIDF模型(Common Intrusion Detection Framework): 包含事 件生成器(event generator:E-boxes),分析引擎(analysis engines:A-boxes),存储机制(storage mechanisms:D-boxes),以及响应模块(countermeasures:C-boxes) SNORT数据流 snort ...
Snort规则入门学习
qq_57035765的博客
03-22 7828
Snort规则学习 入门引言 从一条简单的snort规则开始 alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";) snort 每条规则都可以分成逻辑上的两个部分规则头(header)和规则选项(General Option) 从开头到括号前属于规则部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起
vim/etc/snort/rules/local.rules
07-11
`vim /etc/snort/rules/local.rules` 是一个命令,用于打开Linux系统上的Snort防火墙规则文件(通常在Snort配置目录中)。Snort是一款网络入侵检测系统(NIDS),而`local.rules` 文件是用户自定义的规则集,它允许...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值