• 日期: 2026-09-04 18:45:41
  • 标签: 常规

以下 Snort 规则可以检测来自外部终端的 HTTP 请求并发出警报:

alert tcp any any -> $HOME_NET 80 (msg:'Incoming HTTP Request Detected'; content:'GET'; http_method; sid:100001;)

这条规则会检测任何 TCP 流量,从任何源端口到目标端口 80(即 HTTP)的流量。如果流量中包含 HTTP GET 请求,则会触发警报,并且消息将显示为'Incoming HTTP Request Detected'。SID(规则 ID)为 100001,可以根据需要进行更改。

解释:

  • alert tcp any any -> $HOME_NET 80: 这部分定义了规则的类型、协议、端口和方向。alert 表示触发警报,tcp 表示 TCP 协议,any any 表示任何源 IP 和端口,$HOME_NET 表示你的本地网络,80 表示目标端口(HTTP 协议)。
  • (msg:'Incoming HTTP Request Detected'; content:'GET'; http_method; sid:100001;): 这部分定义了警报消息、内容匹配条件、规则 ID 等。msg 定义了警报消息,content:'GET' 表示匹配包含 'GET' 的内容,http_method 表示使用 HTTP 方法检测,sid 表示规则 ID。

注意:

  • 你需要根据你的实际情况修改 $HOME_NETsid 的值。
  • 为了提高检测效率,你可能需要添加更多匹配条件,例如:
    • 匹配特定的用户代理字符串
    • 匹配特定的 HTTP 请求方法
    • 匹配特定的 HTTP 请求头

原文地址: https://www.cveoy.top/t/topic/fXqu 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录