Cisco Cisco Firepower Management Center 2000 User Guide

36-30

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

规则引擎将会计算自上一次成功内容匹配后显示的 13 个字节当中 4 个字节中描述的数量，并向前
跳过数据包中该数量的字节。例如，如果特定数据包中计算出的 4 个字节是 

00 00 00 1F

，规则引

擎会将它转换为 31。由于指定了 

align

（指示引擎移到下一个 32 位边界），因此，规则引擎将在

数据包中向前跳过 32 个字节。

或者，如果如下设置 

byte_jump

 的值：

Bytes = 4

Offset = 12 

From Beginning 已启用

Multiplier = 2

规则引擎将会计算在数据包起点后显示的 13 个字节当中 4 个字节中描述的数值。然后，引擎会将
该数值乘以 2，以获得将要跳过的字节总数。例如，如果特定数据包中计算出的 4 个字节是 

00 00 

00 1F

，规则引擎会将它转换为 31，然后再乘以 2 以得到 62。由于启用了 From Beginning，因此，

规则引擎会跳过数据包中的前 63 个字节。

要使用 byte_jump，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

从下拉列表中选择 

byte_jump

 并点击 

。

byte_jump 部分将显示在上次选择的关键字下方。

许可证：保护

byte_test

 关键字会计算指定字节段中的字节数，并将计算出的字节数与您指定的运算符和值作

比较。

下表介绍了 

byte_test

 关键字所需的参数。

表 

所需的

参数 

参数

说明

字节

从数据包进行计算的字节数。可指定 1 到 10 字节。

Operator and Value 将指定值与 <、 >、 =,、 !、 &、 ^、 !>、 !<、 !=、 !& 或 !^ 作比较。

例如，如果指定 

!1024

，

byte_test

 将会转换该指定数字，且如果该数字不

等于 1024，则会生成事件 （如果其他所有关键字参数都匹配）。

请注意， ! 和 != 是等效的。

还可以使用现有 

byte_extract

 变量指定此参数的值。有关详情，请参见

Offset

从负载开头到开始进行处理之间的字节数。

偏移量

计数器从字节 0 开始计

数，因此，应该如下计算 

offset

 值：用从数据包负载起点或上一次成功内

容匹配起向前计算所需的字节数减去 1。

还可以使用现有 

byte_extract

 变量指定此参数的值。有关详情，请参见