Snortのflowbitsとタグルールが

Question

を動作しません。私は、次の2つの規則

alert tcp any any -> 192.168.2.105 80 (msg:"test-tag"; sid:10000;flow:from_client;flowbits:set,http;tag:session,exclusive;) 

alert tcp 192.168.2.105 80 -> any any (msg:"test-triggered";sid:10001;flowbits:isset,http;tag:session,exclusive;) 

を持って、私は192.168.2.105:80にリクエストを送信するために別のマシン上でカールを使用し、私は最初のアラートルールがトリガされていることがわかります; 2番目のアラートルールが起動されなかった理由は分かりません。ありがとう。

Answer 1

通信の流れは、任意のポートを持つ任意のIPから、192.168.2.105ポート80までです。第2のルールは、192.168.2.105 80から任意のポートを持つ任意のIPへのフローを指定します。

両方のルールで - >を<>に変更した場合は、両方ともアラートをトリガーする必要があります。