Если я хочу, чтобы предупредить трафик с чекой правила фырканья:Snort правило содержания для СРКА и DSR адреса
Ethernet II, Src: Xircom_c5:7c:38 (00:10:a4:c5:7c:38), Dst: 3comCorp_a8:61:24 (00:60:08:a8:61:24)
Попробуйте использовать:
alert tcp any any -> any any (content:"|00 60 08 a8 61 24|"; content:"|00 10 a4 c5 7c 38|"; nocase; msg:"Alert")
Это выглядит не работает .....
Snort не работает на уровне MAC-адреса, он работает с TCP, UDP, ICMP и IP протоколов.
Ваше правило является правилом tcp и поэтому будет содержать минимум 20-байтовый заголовок, возможно, до 60 байтов в зависимости от параметров.
Поскольку правила содержания фырканья совпадают только в полезной нагрузке, это означает, что каждый из ваших терминов контента content:"|00 60 08 a8 61 24|" и content:"|00 10 a4 c5 7c 38|" будет соответствовать только после первоначального заголовка (20 - 60 байт).