Cisco Cisco Firepower Management Center 4000 User Guide
36-36
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
注
请勿将 U 选项与 R 选项结合使用, 否则可能会导致性能问题。此外,请勿将 U 选项与任何其他
HTTP 内容选项 (I、 P、 H、 D、 M、 C、 K、 S 或 Y)结合使用。
HTTP 内容选项 (I、 P、 H、 D、 M、 C、 K、 S 或 Y)结合使用。
PCRE 关键字值示例
许可证:保护
以下示例显示可为
pcre
输入的值,并说明每个示例将会匹配的内容。
•
/feedback[(\d{0,1})]?\.cgi/U
此示例搜索
feedback
的数据包负载, feedback 后面紧跟着零个或一个数字字符,再紧跟着
.cgi
,且仅在 URI 数据中进行搜索。
此示例将匹配:
•
feedback.cgi
•
feedback1.cgi
•
feedback2.cgi
•
feedback3.cgi
C
如果 HTTP 检查预处理器的
Inspect HTTP Cookies
选项已启用,将会在 HTTP 请求报头的任何
cookie 中搜索规范化内容;如果该预处理器的
Inspect HTTP Responses
选项已启用,还会在 HTTP
响应报头的任何 set-cookie 中搜索规范化内容。如果未启用
Inspect HTTP Cookies
选项,将会搜索
包括 cookie 或 set-cookie 数据在内的整个报头。
请注意:
•
消息正文中包含的 cookie 将被视为正文内容。
•
不能将此选项与
content
或
protected_content
关键字
HTTP Cookie
选项结合使用来搜索相同
的内容。有关详情,请参见
。
•
Cookie:
和
Set-Cookie:
报头名称、标题行中的前导空格以及终止标题行的
CRLF
将作为报头
的一部分而非 cookie 的一部分进行检查。
K
如果 HTTP 检查预处理器的
Inspect HTTP Cookies
选项已启用,将会在 HTTP 请求报头的任何
cookie 中搜索原始内容;如果该预处理器的
Inspect HTTP Responses
选项已启用,还会在 HTTP 响
应报头的任何 set-cookie 中搜索原始内容。如果未启用
Inspect HTTP Cookies
选项,将会搜索包括
cookie 或 set-cookie 数据在内的整个报头。
请注意:
•
消息正文中包含的 cookie 将被视为正文内容。
•
不能将此选项与
content
或
protected_content
关键字
HTTP Raw Cookie
选项结合使用来搜索
相同的内容。有关详情,请参见
。
•
Cookie:
和
Set-Cookie:
报头名称、标题行中的前导空格以及终止标题行的
CRLF
将作为报头
的一部分而非 cookie 的一部分进行检查。
S
搜索 HTTP 响应中的三位数状态代码。有关详细信息,请参阅
中
的
content
和
protected_content
关键字
HTTP Status Code
选项。
有
搜索 HTTP 响应中状态代码随附的文字描述。有关详细信息,请参阅
content
和
protected_content
关键字
HTTP Status Message
选项。
表
36-21
特定于
Snort
的后正则表达式修饰符 (续)
选项
说明