在snort规则中一般情况下是 alert any any -> any any(msg:"........................"; content:"..................";)
第一个any为源端口ip,第二个any为端口号,第三个any为目的ip,第四个any为目的端口号
当端口号设置为固定区间时,用 : 来表示。例如 alert any any -> any [1024:2019](msg:"........................"; content:"..................";) 表示目的端口为1024到2019之间的端口号
当端口号选择为多个端口时,用 , (逗号) 隔开 例如:alert any any -> any [1024,2019](msg:"........................"; content:"..................";) 表示目的端口为 1024,或者 2019
原文:https://www.cnblogs.com/lyt-666/p/11383082.html