在snort的內置規則,也就是預處理髮出的告警中,有這麼一個:(ipv4) IPv4 datagram length > captured length
從字面上來看是:檢測到IPv4數據包的長度>捕獲到該報文應有的長度的消息發出的告警
具體是啥意思吶~
給你們個截圖就曉得啦~~~
簡單的說就是,這個流量包,哪怕做成pcap文件(pcap文件比實際流量多一些字節),都只有一百多字節,然鵝這條流量卻號稱自己的payload部分有1260字節,然後snort一檢查發現,喲!你說謊!然後就發出了這麼個告警啦~