Cómo ejecutar una regla de snort sobre el archivo pcap

Navega tus respuestas
1

Tengo un archivo pcap , y lo que quería saber es cómo puedo aplicar la regla Snort a continuación, que ya he escrito dentro de la carpeta de reglas en mi carpeta de registro: 

alert icmp any any -> any any (msg:"TCP Packet"; sid:477; rev:3;)

¿Cómo puedo ejecutar esta regla sobre el archivo pcap que tengo?

    
pregunta Kulasangar 24.01.2015 - 11:01
fuente

1 respuesta

5

Suponiendo que la regla ya está en un archivo Snort .rules y snort.conf está configurado para incluir el .rules con la regla para probar ... 

$ snort -r foo.pcap

... o ... 

$ snort --pcap-single=foo.pcap

... de ...

enlace

    
respondido por el user1801810 27.01.2015 - 21:50
fuente

Lea otras preguntas en las etiquetas

¿Los “números mágicos” debilitan el cifrado? Implementación CSRF