Cisco Cisco Firepower Management Center 2000 User Guide

36-43

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

分析师最经常监视严格和松散源路由，因为这两个选项可能指出欺骗性源 IP 地址。

识别指定的 IP 协议号

许可证：保护

使用 

ip_proto

 关键字可识别使用指定为关键字值的 IP 协议的数据包。可以为 IP 协议指定 0 到 

255 之间的数字。有关完整的协议号列表，请访问 

 

。可以将这些协议号与以下运算符结合使用：

<

、

>

 或 

!

。例如，要检查使用非 ICMP 的任何协议的流量，请使用 

!1

 作为 

ip_proto

 关键字的值。也

可以在一个规则中多次使用 

ip_proto

 关键字；但请注意，规则引擎会将此关键字的多个实例解释

为具有布尔 AND 关系。例如，如果创建一个包含 

ip_proto:!3; ip_proto:!6

 的规则，该规则将

忽略使用 GGP 协议和 TCP 协议的流量。

检查数据包的服务类型

许可证：保护

有些网络使用服务类型 (ToS) 值设置在网络上传输的数据包的优先级。使用 

tos

 关键字可根据指

定为该关键字的参数的值测试数据包的 IP 报头 ToS 值。对于其 ToS 已设置为指定值且符合规则中
规定的其他条件的数据包，使用 

tos

 关键字的规则将会触发。

注

tos

 参数值必须为数字。

ToS 字段已在 IP 报头协议中弃用，取而代之的是 Differentiated Services Code Point (DSCP) 字段。

检查数据包的生存时间值

许可证：保护

数据包的生存时间 (ttl) 值指明数据包在被丢弃之前可以跳多少次。可以使用 

ttl

 关键字根据指定

为关键字参数的值或值范围测试数据包的 IP 报头 ttl 值。将 

ttl

 关键字参数设置为较小的值 （例

如 0 或 1）可能会有帮助，因为小的生存时间值有时表示跟踪路由或入侵逃避行为。（但请注意，
此关键字的适当值取决于受管设备的位置和网络拓扑。）如下使用语法：

将 TTL 值设置为 0 到 255 之间的整数。也可以该值前面加上一个等号 (=) （例如，可以指定 

5

 或 

=5

）。

使用连字符 (

-

) 指定 TTL 值的范围 （例如，

0-2

 指定 0 到 2 之间的所有值，

-5

 指定 0 到 5 之

间的所有值，

5-

 指定 5 到 255 之间的所有值）。

使用大于号 (>)指定 TTL 值大于一个特定值 （例如，

>3

 指定大于 3 的所有值）。

ts

时间戳

秒

IP 安全选项

lsrr

松散源路由

ssrr

严格源路由

satid

数据流标识符

表 

参数 （续）

参数

说明