Cisco Cisco Firepower Management Center 2000 User Guide

36-28

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

步骤 3

从下拉列表中选择 

 并点击 

。

replace

 关键字将显示在 

content

 关键字下方。

步骤 4

在 

 字段中为指定内容指定替代字符串。

使用 Byte_Jump 和 Byte_Test

许可证：保护

可以使用 

byte_jump

 和 

byte_test

 来计算规则引擎应在数据包中的哪个位置开始测试数据匹配以

及应评估哪些字节。

还可以使用 

byte_jump

 和 

byte_test

 

 参数来定制 DCE/RPC 预处理器处理的流量的关键字。

如果使用 

 参数时，还可以将 

byte_jump

 和 

byte_test

 与其他特定 DCE/RPC 关键字一起使

用。有关详细信息，请参阅

和

有关详细信息，请参阅以下各节：

许可证：保护

byte_jump

 关键字首先计算指定字节段中定义的字节数，然后在数据包中跳过该数量的字节 - 可以

从指定字节段的末尾向前跳，也可以从数据包负载起点向前跳，具体取决于指定的选项。这对于
具有如下特点的数据包很有用：数据包中的特定字节段描述数据包所包含的变量数据。

下表介绍了 

byte_jump

 关键字所需的参数。

下表介绍了可用于定义系统如何解释您为必需参数指定的值的选项。

表 

所需的

参数 

参数

说明

字节

从数据包进行计算的字节数。

Offset

从负载开头到开始进行处理之间的字节数。

偏移量

计数器从字节 0 开始计

数，因此，应该如下计算 

offset

 值：用从数据包负载起点或上一次成功内

容匹配起向前跳所需的字节数减去 1。

还可以使用现有 

byte_extract

 变量指定此参数的值。有关详情，请参见

表 

其他可选

参数 

参数

说明

Relative

使偏移量相对于上一次成功内容匹配中找到的上一个模式。

调整

将转换的字节数四舍五入为下一个 32 位边界。