问题描述
这些天,我正在根据snort规则编写测试攻击软件包,但是以下规则使我变慢了。例如:
alert ftp any any -> any any (msg:"GPL FTP SITE CHOWN overflow attempt"; flow:to_server,established; content:"SITE"; nocase; content:"CHOWN"; distance:0; nocase; isdataat:100,relative; pcre:"/^SITE\s+CHOWN\s[^\n]{100}/smi"; reference:bugtraq,2120; reference:cve,2001-0065; classtype:attempted-admin; sid:2101562; rev:13; metadata:created_at 2010_09_23,updated_at 2010_09_23;)
如您所见,此规则可以检测到缓冲区溢出攻击。我构建了一个这样的攻击程序包(只是有效负载,python代码):
data = b'SITECHOWN' + b'A' * 100
在此规则中,引擎首先在不区分大小写的情况下找到字符串'SITE',然后从'SITE'的末尾搜索距离为0的字符串'CHOWN',并且''末尾之后至少有100个字节哇'。
我认为这可以很好地工作,但事实并非如此。我不知道原因在哪里。关键字“ PCRE”的功能是什么?它与关键字“ content”有什么关系吗? ?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)