alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Get2 method"; flow: to_server, established; dsize: >20; sid:1000006; priority: 15)
Snort no genera ninguna alerta, mientras que cuando escribo la siguiente regla:
alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Get1 method"; flow: to_server, established; dsize: <20; sid:1000005; priority: 15)
genera alerta
Como afirma el manual de Snort:
La palabra clave dsize se usa para probar el tamaño de la carga útil del paquete. Esto se puede usar para verificar paquetes de tamaño anormal que puedan causar desbordamientos del búfer.
Este ejemplo busca un tamaño de entre 300 y 400 bytes.
dsize:300<>400;
Por lo tanto, esta configuración está causando la generación y la no generación de la alerta.
Lea otras preguntas en las etiquetas snort