Cisco Cisco Firepower Management Center 4000 User Guide
36-77
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
例如,如果如下指定
byte_extract
的值:
•
Bytes to Extract = 4
•
Variable Name = var
•
Offset = 8
•
Relative 已启用
那么,规则引擎将会距离 (相对于)上一次成功内容匹配 9 字节的四个字节中描述的数字读取到
名为
名为
var
的变量中 (然后,您可以将该数字指定为某些关键字参数的值)。
下表列出了可以在其中指定
byte_extract
关键字中定义的变量的关键字参数。
要使用 byte_extract,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
byte_extract
并点击
Add Option
。
byte_extract
部分将显示在上次选择的关键字下方。
使用规则关键字发起活动响应
许可证:保护
系统可以发起活动响应,以在响应触发的 TCP 规则时关闭 TCP连接,或者在响应触发的 UDP 规
则时关闭 UDP 会话。有两个关键字提供了两种不同的活动响应发起方法。如果数据包触发包含
这两个关键字当中的任何一个,系统将发起单一活动响应。您还可以使用
则时关闭 UDP 会话。有两个关键字提供了两种不同的活动响应发起方法。如果数据包触发包含
这两个关键字当中的任何一个,系统将发起单一活动响应。您还可以使用
config response
命令
配置要使用的活动响应接口以及要在被动部署中尝试的 TCP 重置次数。
活动响应在内联部署中最有效,因为重置更有可能及时到达以影响连接或会话。例如,在内联部
署中对
署中对
react
关键字作出响应时,系统会为连接的两端将 TCP 重置 (RST) 数据包直接插入到流量
中 (正常情况下,这样应该会关闭连接)。
表
36-50
数字类型
byte_extract
参数
参数
说明
Hexadecimal String 以十六进制格式读取提取的字符串数据。
Decimal String
以十进制格式读取提取的字符串数据。
Octal String
以八进制格式读取提取的字符串数据。
表
36-51
接受
byte_extract
变量的参数
关键字
参数
有关详细信息,请参阅......
content
Depth、 Offset、 Distance、 Within
byte_jump
Offset
byte_test
Offset、 Value
isdataat
Offset