Cisco Cisco Firepower Management Center 2000 User Guide
36-29
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
只能指定
DCE/RPC
、
Endian
或
Number Type
。
如果要定义
byte_jump
关键字如何计算字节,可以从下表所述的参数中进行选择 (如果没有指定
参数,将使用网络字节顺序)。
可以使用下表所列的其中一个参数来定义系统如何在数据包中查看字符串。
例如,如果如下设置
byte_jump
的值:
•
Bytes = 4
•
Offset = 12
•
Relative 已启用
•
Align 已启用
倍数
指示规则引擎应将其与从数据包得到的
byte_jump
值相乘的值,以获得最终
的
byte_jump
值。
也就是说,规则引擎跳过一个与您通过 Multiplier 参数指定的整数相乘的字
节数,而不是跳过指定字节段中定义的字节数。
节数,而不是跳过指定字节段中定义的字节数。
Post Jump Offset
应用其他
byte_jump
参数后要向前跳或向后跳的字节数 (-63535 到
63535)。选择正值将会向前跳,选择负值将会向后跳。将此字段留空或输
入
入
0
将会禁用此字段。
有关选择
DCE/RPC
参数后不适用的
byte_jump
中的
DCE/RPC
参数。
From Beginning
指明规则引擎应从数据包负载起点跳过负载中指定的字节数,而不是从指
定要跳过的字节数的字节段末尾跳过。
定要跳过的字节数的字节段末尾跳过。
表
36-9
其他可选
byte_jump
参数 (续)
参数
说明
表
36-10
字节顺序参数
参数
说明
Big Endian
按大端字节顺序处理数据 (大端字节顺序是默认的网络字节顺序)。
Little Endian
按小端字节顺序处理数据
DCE/RPC
指定 DCE/RPC 预处理器处理的流量的
byte_jump
关键字。有关详情,请参
见
由 DCE/RPC 预处理器确定大端字节顺序或小端字节顺序,
Number Type
、
Endian
和
From Beginning
参数不适用。
如果启用此参数,还可以将
byte_jump
与其他特定 DCE/RPC 关键字结合使
用。有关详情,请参见
表
36-11
数字类型参数
参数
说明
Hexadecimal String 使用十六进制格式表示转换的字符串数据。
Decimal String
使用十进制格式表示转换的字符串数据。
Octal String
使用八进制格式表示转换的字符串数据。