Cisco Cisco Firepower Management Center 2000 User Guide

36-29

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

只能指定 

、

 或 

。

如果要定义 

byte_jump

 关键字如何计算字节，可以从下表所述的参数中进行选择 （如果没有指定

参数，将使用网络字节顺序）。

可以使用下表所列的其中一个参数来定义系统如何在数据包中查看字符串。

例如，如果如下设置 

byte_jump

 的值：

Bytes = 4

Offset = 12 

Relative 已启用

Align 已启用

倍数

指示规则引擎应将其与从数据包得到的 

byte_jump

 值相乘的值，以获得最终

的 

byte_jump

 值。

也就是说，规则引擎跳过一个与您通过 Multiplier 参数指定的整数相乘的字
节数，而不是跳过指定字节段中定义的字节数。

Post Jump Offset

应用其他 

byte_jump

 参数后要向前跳或向后跳的字节数 （-63535 到 

63535）。选择正值将会向前跳，选择负值将会向后跳。将此字段留空或输
入 

0

 将会禁用此字段。

有关选择 

 参数后不适用的 

byte_jump

 参数，请参阅

中的 

 参数。

From Beginning

指明规则引擎应从数据包负载起点跳过负载中指定的字节数，而不是从指
定要跳过的字节数的字节段末尾跳过。

表 

其他可选

参数 （续）

参数

说明

表 

字节顺序参数 

参数

说明

Big Endian

按大端字节顺序处理数据 （大端字节顺序是默认的网络字节顺序）。

Little Endian

按小端字节顺序处理数据

DCE/RPC

指定 DCE/RPC 预处理器处理的流量的 

byte_jump

 关键字。有关详情，请参

见

由 DCE/RPC 预处理器确定大端字节顺序或小端字节顺序，

、

 和 

 参数不适用。

如果启用此参数，还可以将 

byte_jump

 与其他特定 DCE/RPC 关键字结合使

用。有关详情，请参见

表 

数字类型参数 

参数

说明

Hexadecimal String 使用十六进制格式表示转换的字符串数据。

Decimal String

使用十进制格式表示转换的字符串数据。

Octal String

使用八进制格式表示转换的字符串数据。