Re: (no subject)

[wkitty42 () windstream net]

On 08/18/2017 09:30 AM, Omar Johnatan Lopez Carrillo wrote:
> Buenos días amigos
> tengo la siguiente regla pero no me manda alerta, pido de su ayuda para saber 
> que es lo que estoy haciendo mal
>
> alert tcp any any -> any any (content:"https://www.facebook.com";msg:"entro a 
> facebook";sid:1000002;rev:001;)


what, exactly, are you looking for? you won't find that content in the actual 
request. you might find it in a document but the request is not formed that way.

have you tried using a tool like wireshark to capture the packets of a request 
like that? that's what you need to use to see and understand where to look for 
your content items for any rules you write.


en español:
¿Que es exactamente lo que está buscando? No encontrará ese contenido en la 
solicitud real. Usted puede encontrarlo en un documento, pero la solicitud no se 
forma de esa manera.

¿Ha intentado utilizar una herramienta como wireshark para capturar los paquetes 
de una solicitud como esa? Eso es lo que necesita para ver y entender dónde 
buscar sus artículos de contenido para las reglas que escriba.


--
 NOTE: No off-list assistance is given without prior approval.
       *Please keep mailing list traffic on the list unless*
       *a signed and pre-paid contract is in effect with us.*
_______________________________________________
Snort-users mailing list
Snort-users () lists snort org
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!