Cisco Cisco Firepower Management Center 2000 User Guide
36-31
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
可以用下表中所述的参数进一步定义系统如何使用
byte_test
参数。
只能指定
DCE/RPC
、
Endian
或
Number Type
。
要定义
byte_test
关键字如何计算其测试的字节,请从下表中选择参数。如果未指定参数,将使
用网络字节顺序。
可以使用下表所列的其中一个参数来定义系统如何在数据包中查看字符串。
例如,如果如下指定
byte_test
的值:
•
Bytes = 4
•
Operator and Value > 128
•
Offset = 8
•
Relative 已启用
规则引擎会计算自 (相对于)上一次成功内容匹配后显示的 9 个字节当中 4 个字节中描述的数
值,如果计算出的数值大于 128 字节,将触发规则。
值,如果计算出的数值大于 128 字节,将触发规则。
表
36-13
其他可选
byte_test
参数
参数
说明
Relative
使偏移量相对于上一次成功模式匹配。
调整
将转换的字节数四舍五入为下一个 32 位边界。
表
36-14
字节顺序
byte_test
参数
参数
说明
Big Endian
按大端字节顺序处理数据 (大端字节顺序是默认的网络字节顺序)。
Little Endian
按小端字节顺序处理数据
DCE/RPC
指定 DCE/RPC 预处理器处理的流量的
byte_test
关键字。有关详情,请参
见
由 DCE/RPC 预处理器确定大端字节顺序或小端字节顺序,
Number Type
和
Endian
参数不适用。
如果启用此参数,还可以将
byte_test
与其他特定 DCE/RPC 关键字结合使
用。有关详情,请参见
表
36-15
数字类型
byte-test
参数
参数
说明
Hexadecimal String 使用十六进制格式表示转换的字符串数据。
Decimal String
使用十进制格式表示转换的字符串数据。
Octal String
使用八进制格式表示转换的字符串数据。