ich bin mal wieder blind. Kann mir jmd kurz auf die Sprünge helfen? vim zeigt mir ein match zwischen den beiden Klammern an
:
Bearbeitet durch User
ich kenne die Snort Syntax nicht, aber wenn beide Zeilen gleich aussehen und nur die zweite Zeile angemeckert wird, dann liegt der Fehler vielleicht in der ersten Zeile. Fehlt vielleicht was in der ersten Zeile um die Rule abzuschließen?
Michael D. schrieb: > ich kenne die Snort Syntax nicht, aber wenn beide Zeilen gleich > aussehen > und nur die zweite Zeile angemeckert wird, dann liegt der Fehler > vielleicht in der ersten Zeile. > > Fehlt vielleicht was in der ersten Zeile um die Rule abzuschließen? ja, war auch mein erster Gedankengang. Aber ich würde mi 99% Sicherheit sagen, dass dem nicht so ist. Im Gegenteil, jede Zeile steht für sich und um Zeilen zu verbinden, nutzt man backslash es sei denn es gibt da eine Besonderheit von vim...
:
Bearbeitet durch User
Beide Zeilen enden mit geschlossenen Klammern. Ich sehe keine geöffneten Klammern.
Stefan ⛄ F. schrieb: > Beide Zeilen enden mit geschlossenen Klammern. Ich sehe keine > geöffneten > Klammern. verstehe ich nicht. geöffnete Klammer ist am Beginn der Rule option. Oder was meinst du?
Ich kenne mich mit snort nicht aus, aber im Manual steht über Regeln das:
1 | alert tcp any any -> 192.168.1.1 80 ( msg:"A ha!"; content:"attack"; sid:1; ) |
2 | |
3 | The structure is: |
4 | |
5 | action proto source dir dest ( body ) |
6 | |
7 | Where: |
8 | |
9 | action - tells Snort what to do when a rule "fires", ie when the signature matches. In this case Snort will log the event. It can also do thing like block the flow when running inline. |
10 | |
11 | proto - tells Snort what protocol applies. This may be ip, icmp, tcp, udp, http, etc. |
12 | |
13 | source - specifies the sending IP address and port, either of which can be the keyword any, which is a wildcard. |
14 | |
15 | dir - must be either unidirectional as above or bidirectional indicated by <>. |
16 | |
17 | dest - similar to source but indicates the receiving end. |
18 | |
19 | body - detection and other information contained in parenthesis. |
In deinen Regeln sehe ich keinen Ziel-Port. Liegt da vielleicht das Problem?
Antonow B. schrieb: > geöffnete Klammer ist am Beginn der Rule option. Oh, habe ich übersehen. Das Licht war ungünstig, oder so :-) (Ich glaube ich kann bald nicht mehr an dem kleinem Laptop arbeiten. Alt werden ist nicht schön.)
Rolf M. schrieb: > In deinen Regeln sehe ich keinen Ziel-Port. Liegt da vielleicht das > Problem? verdammt, du hast Recht, ist mir durch die Lappen gegangen
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.