Ces règles Snort sont-elles redondantes?


1

Je parcourais les règles de la communauté publiées sur la page Web de Snort et j'ai remarqué ces deux règles:

Rule @ line 2643: alert udp $HOME_NET any -> any 53 (msg:"BLACKLIST DNS request for known malware domain documents.myPicture.info"; flow:to_server; byte_test:1,!&,0xF8,2; content:"|09|documents|09|myPicture|04|info|00|"; fast_pattern:only; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service dns; reference:url,fireeye.com/blog/technical/2013/08/survival-of-the-fittest-new-york-times-attackers-evolve-quickly.html; classtype:trojan-activity; sid:27625; rev:2;)  

Rule @ line 2644: alert udp $HOME_NET any -> any 53 (msg:"BLACKLIST DNS request for known malware domain ftp.documents.myPicture.info"; flow:to_server; byte_test:1,!&,0xF8,2; content:"|03|ftp|09|documents|09|myPicture|04|info|00|"; fast_pattern:only; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service dns; reference:url,fireeye.com/blog/technical/2013/08/survival-of-the-fittest-new-york-times-attackers-evolve-quickly.html; classtype:trojan-activity; sid:27626; rev:2;)

L' contentoption de la première règle ( |09|documents|09|myPicture|04|info|00|) ne rend-elle pas la 2e règle redondante? C'est-à-dire que la 1ère règle sera toujours déclenchée si la 2ème règle le fait, car son contentoption est une sous-chaîne de l' contentoption de la 2ème ( |03|ftp|09|documents|09|myPicture|04|info|00|)

Réponses:


En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.