Если вы делаете повторную сборку потока (которая должна быть включена по умолчанию в стандартном snort.conf), то да. Это называется псевдопакет (или повторно собранный пакет), который snort строит из нескольких пакетов и повторно собирает. Вы можете прочитать об этой функциональности и конфигурации для нее here. Это, вероятно, самая важная часть snort (и самая дорогая), без повторной сборки потока многие промахи будут пропущены. Без повторной сборки snort будет только проверять необработанные пакеты. Например:
TCP-пакет содержит 2000 байт данных, MTU в сети - 1500, поэтому этот пакет необходимо разбить на отдельные отправленные пакеты. Скажем, 1400 байт отправляются в пакете 1, а остальные 600 байтов в пакете 2. Если в этом пакете есть эксплойт, а контент, который ищет фырканье, содержится в байтах 1360-1500, тогда фырканье будет пропустить эксплойт и не будет предупреждать , С повторной сборкой потока snort будет собирать пакет:
Скажите, что у вас есть правило snort, которое ищет контент «ЭТО - ЭКСПЛУАТАЦИЯ».
Сырое пакет 1: .... данные ... это
Сырое пакет 2: Exploit .... данные ...
Без потока повторной сборки фырканье пропустит этот подвиг. С потоком повторной сборки фырканье восстановит пакет псевдо и он будет работать содержание правила против этого, поэтому он будет видеть:
Псевдо пакетов: ... данные ... ЭТО ИСПОЛЬЗОВАТЬ ... данные ...
И правило будет соответствовать.
Как это связано с [tag: pattern-matching]? Вы имели в виду [tag: pattern-признание]? – zero323
, но вы не можете удержать пакеты, потому что где-то вниз по временной шкале вы хотите сопоставить пакет 5, где пакет 50! = Пакет 4, который содержит '[0-9] +^&', поэтому позволяет сопоставить книгу через следующие 200 пакетов. вы можете увидеть проблему cant you – gwillie