IPS自定义特征库的写作
按照这种模版写进去,后面如果有新的域名客户就可以自己添加了。
例子:|11|代表 advainvienvaiebai 是17个字符,|02|代表 md 是2个字符,采用16进制;sid:1计数,相当于编写一个ID(和原本库的ID不一样),自定义中不能有重复的
advainvienvaiebai.md
丢弃类:
drop udp any any -> any any (msg:"DNS Query for advainvienvaiebai.md"; content:"|11|advainvienvaiebai|02|md"; classtype:bad-unknown; sid:101; rev:1;)
告警类:
alert udp any any -> any any (msg:"DNS Query for aefobfboabobfaoua.name"; content:"|11| aefobfboabobfaoua |04|name"; classtype:bad-unknown; sid:102; rev:1;)
上述的放在一个txt,然后命名后缀改成.rules
drop udp any any -> any any (msg:"DNS Query for advainvienvaiebai.md"; content:"|11|advainvienvaiebai|02|md"; classtype:bad-unknown; sid:101; rev:1;)
可否在里面同时设置对 两个域名 丢弃?如:advainvienvaiebai.md、***.***
(0)
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作