这些天，我正在根据snort规则编写测试攻击软件包，但是以下规则使我变慢了。例如：

alert ftp any any -> any any (msg:"GPL FTP SITE CHOWN overflow attempt"; flow:to_server,established; content:"SITE"; nocase; content:"CHOWN"; distance:0; nocase; isdataat:100,relative; pcre:"/^SITE\s+CHOWN\s[^\n]{100}/smi"; reference:bugtraq,2120; reference:cve,2001-0065; classtype:attempted-admin; sid:2101562; rev:13; metadata:created_at 2010_09_23,updated_at 2010_09_23;)

如您所见，此规则可以检测到缓冲区溢出攻击。我构建了一个这样的攻击程序包（只是有效负载，python代码）：

data = b'SITECHOWN' + b'A' * 100

在此规则中，引擎首先在不区分大小写的情况下找到字符串'SITE'，然后从'SITE'的末尾搜索距离为0的字符串'CHOWN'，并且''末尾之后至少有100个字节哇'。

我认为这可以很好地工作，但事实并非如此。我不知道原因在哪里。关键字“ PCRE”的功能是什么？它与关键字“ content”有什么关系吗？ ？

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）