Schnauben flowbits und Tag-Regeln funktionieren nicht

Question

Ich habe die folgenden zwei Regeln

alert tcp any any -> 192.168.2.105 80 (msg:"test-tag"; sid:10000;flow:from_client;flowbits:set,http;tag:session,exclusive;) 

alert tcp 192.168.2.105 80 -> any any (msg:"test-triggered";sid:10001;flowbits:isset,http;tag:session,exclusive;) 

dann benutze ich curl auf einer anderen Maschine Anfrage an 192.168.2.105:80 zu schicken, und ich kann sehen, dass die erste Alarmregel ausgelöst ; aber die zweite Alarmregel wurde nicht ausgelöst, ich weiß nicht warum. Könnte mir bitte jemand dabei helfen? Vielen Dank.

Answer 1

Der Kommunikationsfluss erfolgte von einer beliebigen IP mit einem beliebigen Port zu 192.168.2.105 Port 80. Die zweite Regel gibt den Fluss von 192.168.2.105 80 zu einer beliebigen IP mit einem beliebigen Port an.

Wenn Sie in beiden Regeln die Option -> in <> geändert haben, sollten beide eine Warnung auslösen.