Cisco Cisco Firepower Management Center 2000 User Guide
36-42
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
检查分片和保留位
许可证:保护
fragbits
关键字检查 IP 报头中的分片和保留位。可以检查每个数据包的 Reserved 位、 More
Fragments位和 Don't Fragment 位的任意组合。
为进一步改进使用
fragbits
关键字的规则,可以在规则的参数值后指定下表中所述的任何运算符。
例如,要生成有关设置了 Reserved 位 (还可能设置了任何其他位)的数据包的事件,请使用
R+
作为
fragbits
值。
检查 IP 报头标别值
许可证:保护
id
关键字根据您在此关键字的参数中指定的值测试 IP 报头分片标别字段。某些拒绝服务工具和
扫描仪将此字段设置为容易检测的特定数字。例如,在 SID630(检测 Synscan 端口扫描)中,
id
设置为
39426
,这是在扫描仪传输的数据包中用作 ID 号的静态值。
注
id
参数值必须为数字。
识别指定的 IP 选项
许可证:保护
使用
IPopts
关键字可在数据包中搜索指定的 IP 报头选项。下表列出了可用的参数值。
表
36-23
Fragbits
参数值
参数
说明
R
Reserved 位
M
More Fragments 位
D
Don’t Fragment 位
表
36-24
Fragbit
运算符
运算符
说明
加号 (
+
)
数据包必须匹配所有指定的位。
星号 (
*
)
数据包可以匹配任何指定的位。
感叹号 (
!
)
如果未设置任何指定的位,数据包将符合条件。
表
36-25
IPoption
参数
参数
说明
rr
记录路由
eol
列表结束
nop
无操作