Eu tenho uma regra de snort não detectável em pcap. Alguns arquivos pcap, esta regra é detectada, outros não. Eu tentei muitas opções possíveis, mas sem detecção. Talvez se alguém puder me ajudar, deve ser bom; -)
Aqui está a regra que é detectada em 2 arquivos pcap.
alertar qualquer ip < > any any (msg: "TEST 1"; conteúdo: "forum.php"; nocase; classtype: trojan-activity; sid: 6000003; rev: 0;)
Esta regra não é detectada com 2 outros arquivos pcap. Wireshark me mostra que forum.php está dentro do pcap não detectado
Onde está o problema?
Obrigado pela ajuda
Tags snort