Cisco Cisco Firepower Management Center 2000 User Guide
36-35
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
下表介绍了可用于正则表达式后的 PCRE 修饰符。
下表介绍了可用于正则表达式后的 Snort 特定修饰符。
.
表
36-20
PCRE
相关的后正则表达式选项
选项
说明
A
模式必须在字符串开头进行匹配 (与在正则表达式中使用
^
具有相同的效果)。
E
将
$
设置为只在目标字符串结尾进行匹配。(如果最后一个字符是换行符,即使没有
E
,
$
也会
匹配紧接在该字符之前的内容,但不会匹配任何其他换行符之前的内容)。
G
默认情况下,
* +
和
?
是“贪婪”的,这意味着,如果找到两个或更多匹配项,将会选择最长的
匹配项。使用 G 字符可使这些字符在后面无问号字符 (
?
)的情况下总是选择第一个匹配项。例
如,在使用 G 修饰符的构造中,
*?
+
?
和
??
将是贪婪字符,
*
、
+
或
?
在不附带问号的情况下将是
非贪婪字符。
表
36-21
特定于
Snort
的后正则表达式修饰符
选项
说明
R
相对于规则引擎上一次找到的匹配项的结尾搜索匹配的内容。
B
在未被预处理器解码的数据中搜索内容 (此选项类似于将
Raw Data
参数与
content
或
protected_content
关键字配合使用)。
你
在已由 HTTP 检查预处理器解码的规范化 HTTP 请求消息的 URI 中搜索内容。请注意,不能将
此选项与
此选项与
content
或
protected_content
关键字
HTTP URI
选项结合使用来搜索相同的内容。有关
注
管道化 HTTP 请求数据包包含多个 URI。包含 U 选项的 PCRE 表达式使规则引擎仅在管
道化 HTTP 请求数据包的第一个 URI 中搜索内容匹配。要搜索数据包中的所有 URI,请
将
道化 HTTP 请求数据包的第一个 URI 中搜索内容匹配。要搜索数据包中的所有 URI,请
将
content
或
protected_content
关键字与选定的
HTTP URI
配合使用 (可配合或不配合
随附的使用 U 选项的 PCRE 表达式)。
I
在已由 HTTP 检查预处理器解码的原始 HTTP 请求消息的 URI 中搜索内容。请注意,不能将此
选项与
选项与
content
或
protected_content
关键字
HTTP Raw URI
选项结合使用来搜索相同的内容。有
关详情,请参见
。
P
在已由 HTTP 检查预处理器解码的规范化 HTTP 请求消息的正文中搜索内容。有关详细信息,
请参阅
请参阅
content
和
protected_content
关键字
HTTP Client Body
选项。
H
在已由 HTTP 检查预处理器解码的 HTTP 请求或响应消息的报头 (不包括 cookie)中搜索内
容。请注意,不能将此选项与
容。请注意,不能将此选项与
content
或
protected_content
关键字
HTTP Header
选项结合使用来
搜索相同的内容。有关详情,请参见
。
D
在已由 HTTP 检查预处理器解码的原始 HTTP 请求或响应消息的报头 (不包括 cookie)中搜索
内容。请注意,不能将此选项与
内容。请注意,不能将此选项与
content
或
protected_content
关键字
HTTP Raw Header
选项结合
使用来搜索相同的内容。有关详情,请参见
。
M
在已由 HTTP 检查预处理器解码的规范化 HTTP 请求消息的方法字段中搜索内容;该方法字段
确定要对 URI 中识别出的资源执行的操作 (例如, GET、 PUT、 CONNECT 等)。有关详细信
息,请参阅
确定要对 URI 中识别出的资源执行的操作 (例如, GET、 PUT、 CONNECT 等)。有关详细信
息,请参阅
中的
content
和
protected_content
关键字
HTTP
Method
选项。