Soy bastante nuevo en Snort, ¿Alguien podría explicar estas dos reglas? Específicamente, ¿por qué contienen más de un campo de "contenido"?
alert tcp $EXTERNAL_NET any -> $HOME_NET any (
msg:"ET TROJAN Reply Sinkhole - irc-sinkhole.cert.pl";
flow:established,from_server;
content:"|3a|irc|2d|sinkhole|2e|cert|2e|pl";
nocase;
fast_pattern:only;
content:"|3a|End of MOTD command|2e|";
classtype:trojan-activity;
sid:2019354;
rev:1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (
msg:"ET MALWARE Adware.iBryte.B Install";
flow:to_server,established;
content:"/impression.do/?";
http_uri;
fast_pattern:only;
content:"user_id=";
http_uri;
content:"event=";
http_uri;
content:"source=";
http_uri;
reference:md5,1497c33eede2a81627c097aad762817f;
classtype:trojan-activity;
sid:2018194;
rev:4;)