11/6/2023 -- 11:25:42 - <Error> - [ERRCODE: SC_ERR_UNKNOWN_PROTOCOL(124)] - protocol "https" cannot be used in a signature. Either detection for this protocol supported yet OR detection has been disabled for protocol through the yaml option app-layer.protocols.https.detection-enabled 11/6/2023 -- 11:25:42 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "reject https any any -> any 443 (msg:"[ REJECT HTTPS -> WANGSU ]"; content:"wangsu.com"; http_host; sid:2; rev:1;)" from file /home/wzw/gy_tsource_zw/pack/rules/test.rules at line 7
时间: 2024-03-26 18:37:19 浏览: 321
这是一条错误信息,它指出在某个规则文件中,第7行的某个规则出现了问题。具体来说,这个规则试图拦截所有的 HTTPS 流量,将其目的地址和端口限制为任意地址的 443 端口,并且在请求头中检查是否包含 wangsu.com 这个域名。然而,这个规则存在一些问题,与 HTTPS 协议相关的问题导致了无法正确解析这个规则。建议检查一下规则文件中是否存在类似的问题,或者尝试在 YAML 配置文件中启用 HTTPS 协议的检测功能。
相关问题
11/6/2023 -- 11:33:01 - <Error> - [ERRCODE: SC_ERR_RULE_KEYWORD_UNKNOWN(102)] - unknown rule keyword 'reject'. 11/6/2023 -- 11:33:01 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert http any any -> any any (msg:"hhit pkg.loongnix.cn...";content:"pkg.loongnix.cn"; reference:url, www.pkg.loongnix.cn;reject;)" from file /home/wzw/gy_tsource_zw/pack/rules/test.rules at line 5
这也是一条错误信息,它指出在某个规则文件中,第5行的某个规则出现了问题。具体来说,这个规则试图拦截所有的 HTTP 流量,并且在请求中检查是否包含 pkg.loongnix.cn 这个域名。但是这个规则存在问题,因为其中包含一个未知的关键字 "reject",导致无法正确解析这个规则。
建议检查一下规则文件中是否存在类似的问题,或者查看 Snort 的规则语法,确保规则中使用的关键字都是合法的。在这个例子中,可能是规则编写者误用了 "reject" 这个关键字,应该将其删除,只保留合法的关键字,如 "msg"、"content"、"reference" 等等。
11/6/2023 -- 10:49:32 - <Error> - [ERRCODE: SC_ERR_PCRE_MATCH(2)] - pcre_exec failed: ret -1, optstr "sid:1008611" 11/6/2023 -- 10:49:32 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert http any any -> any any (msg:"hhit pkg.loongnix.cn...";content:"pkg.loongnix.cn"; reference:url, www.pkg.loongnix.cn;sid:1008611)" from file /home/wzw/gy_tsource_zw/pack/rules/test.rules at line 5
这个错误提示表明,你的规则文件中的某个规则中,使用了PCRE正则表达式,但是正则表达式的语法有问题,无法执行。具体错误是"pcre_exec failed: ret -1",这表示正则表达式的执行失败了。
你需要检查你的规则文件,查找具有"sid:1008611"的规则,然后检查其中使用的正则表达式的语法是否正确。你可以考虑使用在线的正则表达式测试工具来检查你的正则表达式是否有效。另外,确保你的Suricata版本支持PCRE正则表达式。
阅读全文