16,550
社区成员
发帖
与我相关
我的任务
分享关于snort的包匹配问题.
我对snort有一定的兴趣,想根据snort思路自己改编一个小型的,简化的入侵检测系统.现正在研究其包匹配部分的代码.
该部分输入数据为 解析的规则链表和数据包.请大家个抒己见,畅所欲言,提个人的思路,说出见解.
另外,谁有改编的,简化版的snort代码或者其中包匹配部分的代码,请帖出,大家共享.
见着有分,帖代码者高分相赠.
该部分输入数据为 解析的规则链表和数据包.请大家个抒己见,畅所欲言,提个人的思路,说出见解.
另外,谁有改编的,简化版的snort代码或者其中包匹配部分的代码,请帖出,大家共享.
见着有分,帖代码者高分相赠.
...全文
请发表友善的回复…
发表回复
yuxiang0907 2005-04-20
- 打赏
- 举报
先可以对其他的检测,如ttl,size等比较简单的进行判断。最关键的还是对content的匹配,里面不仅涉及到匹配的效率问题,还有可能有offset,depth,nocase的考虑情况,当然可能某个规则里面存在多个content的匹配,他们之间应该考虑与的关系。另外,在规则头里面有几个关键字,如alert,pass等,各自不同的处理方法也应该注意一下。
yuxiang0907 2005-04-20
- 打赏
- 举报
那部分的输入数据有包和规则树。在匹配时,注意利用模式匹配方法,可以提高效率。
zhjie374 2005-04-20
- 打赏
- 举报
我现在正在玩这个,主要想利用里面的字符匹配,想把他修改以后可以在UNICODE上用...
不过我发现效率其实不是很快..
如果我要把C:\下的所有文件匹配特定的串,似乎慢了点.
不过我发现效率其实不是很快..
如果我要把C:\下的所有文件匹配特定的串,似乎慢了点.
xuzhibing0907 2005-04-20
- 打赏
- 举报
没有一个人说话啊?
