Cisco Cisco Firepower Management Center 4000 User Guide

36-74

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

许可证：保护

isdataat

 关键字指示规则引擎验证数据是否驻留在负载中的特定位置。

下表列出了可与 

isdataat

 关键字配合使用的参数。

例如，在查找内容 

foo

 的规则搜索中，如果如下指定 

isdataat

 的值：

Offset = !10

Relative 已启用

那么，如果规则引擎在负载结束前未能在 

foo

 之后检测到 10 字节，系统将会发出警报。

要使用 isdataat，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

isdataat

 并点击 

。

系统将显示 

isdataat

 部分。

许可证：保护

sameip

 关键字测试数据包的源 IP 地址和目标 IP 地址是否相同。此关键字没有参数。

许可证：保护

fragoffset

 关键字测试分片数据包的偏移量。由于某些漏洞 （例如， WinNuke 拒绝服务攻击）

使用手动生成的具有特定偏移量的数据包分片，因此，此关键字很有用。

例如，要测试分片数据包的偏移量是否为 31337 字节，应指定 

31337

 作为 

fragoffset

 的值。

表 

参数 

参数

类型

说明

Offset

必填

负载中的特定位置。例如，要测试显示在数据包中字节 50 处的数据，需
要指定 

50

 作为偏移量值。A 

!

修饰符否定 

isdataat

 测试的结果；如果负载

中不存在一定数量的数据，此修饰符将会发出警报。

还可以使用现有 

byte_extract

 变量指定此参数的值。有关详情，请参见

Relative

可选

使位置相对于上一次成功内容匹配。指定相对位置时请注意，计数器从字
节 0 开始计算，因此，应该如下计算相对位置：用从上一次成功内容匹配
起向前计算所需的字节数减去 1。例如，要指定数据必须显示在上一次成
功内容匹配后的第九个字节处，需要将相对偏移量指定为 

8

。

Raw Data 可选

指定数据在由任何 FireSIGHT 系统预处理器进行解码或规范化之前位于原
始数据包负载中。如果上一次内容匹配出现在原始数据包数据中，可以将
此参数与 

 结合使用。