Cisco Cisco Firepower Management Center 4000 User Guide
36-92
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
解码和检查 Base64 数据
许可证:保护
可以结合使用
base64_decode
和
base64_data
关键字,以指示规则引擎将指定数据作为 Base64 数
据进行解码和检查。这可能很有用,例如,对于检查 Base64 编码 HTTP 身份验证请求报头,以及
对于检查 HTTP PUT 和 POST 请求中的 Base64 编码数据。
对于检查 HTTP PUT 和 POST 请求中的 Base64 编码数据。
这两个关键字对于编码和检查 HTTP 请求中的 Base64 数据尤其有用。但是,也可以将这两个关键
字与像 HTTP 一样使用空格和制表符的任何协议 (例如 SMTP)结合使用,以将长的报头行展开
为跨越多行。如果协议中不存在这样的行展开 (即为“折叠”),检查将在后面不跟有空格或制
表符的任何回车符或换行符处结束。
字与像 HTTP 一样使用空格和制表符的任何协议 (例如 SMTP)结合使用,以将长的报头行展开
为跨越多行。如果协议中不存在这样的行展开 (即为“折叠”),检查将在后面不跟有空格或制
表符的任何回车符或换行符处结束。
有关详细信息,请参阅以下各节:
•
•
base64_decode
许可证:保护
base64_decode
关键字指示规则引擎将数据包数据解码为 Base64 数据。使用可选参数可指定要解
码的字节数量以及在数据中的哪个位置开始解码。
可以在一个规则中使用
base64_decode
关键字一次;此关键字必须位于至少一个
base64_data
关
键字实例前面。有关详情,请参见
解码 Base64 数据之前,规则引擎会将跨越多行的已折叠的长报头展开。当规则引擎遇到以下任
何情况时,解码将会结束:
何情况时,解码将会结束:
•
报头行结尾
•
要解码的指定字节数
•
数据包结尾
下表介绍了可与
base64_decode
关键字配合使用的参数。
要解码 Base64 数据,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
base64_decode
并点击
Add Option
。
系统将显示
base64_decode
关键字。
步骤 2
或者,选择
表
36-60
可选的
base64_decode
参数
参数
说明
字节
指定要解码的字节数。如果未指定,解码将持续到报头行结尾或数据包负载结
尾 (以先到者为准)。可以指定非零的正值。
尾 (以先到者为准)。可以指定非零的正值。
Offset
确定相对于数据包负载开头的偏移量,如果还指定了
Relative
,则确定相对于当
前检查位置的偏移量。可以指定非零的正值。
Relative
指定相对于当前检查位置的检查。