Cisco Cisco Firepower Management Center 2000 User Guide

36-19

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

搜索位置选项

许可证：保护

可以使用搜索位置选项指定开始搜索指定内容的位置以及继续搜索的深度。有关每个这些选项的
详细信息，请参阅：

关于如何在 

content

 或 

protected_content

 关键字中使用搜索位置选项的信息，请参阅：

注

此选项仅在配置 

content

 关键字时可用。有关详细信息，请参阅

。

指定最大内容搜索深度 （以字节为单位），从偏移量值起点开始计算，如果没有配置偏移
量，则从数据包负载起点开始计算。

例如，如果规则的内容值为 

cgi-bin/phf

，

offset

 值为 

3

，

depth

 值为 

22

，规则将从字节 3 开

始搜索 

cgi-bin/phf

 字符串内容匹配，并在处理完符合规则报头指定参数的数据包中的 22 个

字节 （字节 25）后停止。

必须指定一个大于或等于指定内容长度的数值，最多 65535 字节。不能指定值 0。

默认深度是搜索至数据包终点。

指示规则引擎识别在上一次成功内容匹配后出现指定数量字节的后续内容匹配。

由于偏移量计数器从字节 0 开始计算，因此，应指定比所需字节数小 1 的值，以便从上一次
成功内容匹配开始继续搜索。例如，如果指定 4，搜索将从第五个字节开始。

可指定 -65535 到 65535 字节之间的值。如果在 

Distance

 中指定负值，开始搜索的字节可能位

于数据包开头以外。所有计算都会将数据包以外的字节考虑在内，尽管搜索实际上从数据包
的第一个字节开始。例如，如果数据包当前位置是第五个字节，下一个内容规则选项指定 

Distance

 值为 -10，

Within

 值为 20，搜索将从负载起点开始，且 

Within

 选项将调整为 15。

默认距离是 0，表示继上一次内容匹配之后数据包中的当前位置。

注

此选项仅在配置 

protected_content

 关键字时可用。有关详细信息，请参阅

。

 

protected_content 

关键字选项表示非哈希搜索字符串的长度 （以字节为单位）。

例如，如果使用了内容 

Sample1

 生成安全哈希，请将 

 值设置为 

7

。必须在该字段中输入

一个值。