分享一个有问题的流量包
在snort的内置规则,也就是预处理发出的告警中,有这么一个:(ipv4) IPv4 datagram length > captured length
从字面上来看是:检测到IPv4数据包的长度>捕获到该报文应有的长度的消息发出的告警
具体是啥意思呐~
给你们个截图就晓得啦~~~
简单的说就是,这个流量包,哪怕做成pcap文件(pcap文件比实际流量多一些字节),都只有一百多字节,然鹅这条流量却号称自己的payload部分有1260字节,然后snort一检查发现,哟!你说谎!然后就发出了这么个告警啦~