Cisco Cisco Firepower Management Center 2000 User Guide
36-44
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
•
使用大于或等于号 (>=) 指定 TTL 值大于或等于一个特定值(例如,
>=3
指定大于或等于 3 的
所有值)。
•
使用小于号 (<)指定 TTL 值小于一个特定值 (例如,
<3
指定小于 3 的所有值)。
•
使用小于或等于号 (<=) 指定 TTL 值小于或等于一个特定值(例如,
<=3
指定小于或等于 3 的
所有值)。
检查 ICMP 报头值
许可证:保护
FireSIGHT 系统支持可用于识别 ICMP 数据包报头中的攻击和安全策略违规的关键字。但请注
意,存在的预定义规则检测大多数 ICMP 类型和代码。可考虑启用现有规则或者根据现有规则创
建本地规则;如果您从头开始构建 ICMP 规则,可能会更快找到符合您需求的规则。
意,存在的预定义规则检测大多数 ICMP 类型和代码。可考虑启用现有规则或者根据现有规则创
建本地规则;如果您从头开始构建 ICMP 规则,可能会更快找到符合您需求的规则。
有关 ICMP 特定关键字的详细信息,请参阅以下各节:
•
•
•
识别静态 ICMP ID 和序列值
许可证:保护
ICMP 标别号和序列号有助于将 ICMP 响应与 ICMP 请求关联起来。在正常流量中,这些值动态
地分配给数据包。有些隐蔽通道和分布式拒绝服务 (DDoS) 程序使用静态 ICMP ID 和序列值。使
用以下关键字可识别具有静态值的 ICMP 数据包。
地分配给数据包。有些隐蔽通道和分布式拒绝服务 (DDoS) 程序使用静态 ICMP ID 和序列值。使
用以下关键字可识别具有静态值的 ICMP 数据包。
icmp_id
icmp_id
关键字检查 ICMP 回应请求或应答数据包的 ICMP ID 号。应使用对应于 ICMP ID 号的数
值作为
icmp_id
关键字的参数。
icmp_seq
icmp_seq
关键字检查 ICMP 回应请求或应答数据包的 ICMP 序列。应使用对应于 ICMP 序列号的
数值作为
icmp_seq
关键字的参数。
检查 ICMP 消息类型
许可证:保护
使用
itype
关键字可查找具有特定 ICMP 消息类型值的数据包。可以指定有效的 ICMP 类型值
(有关 ICMP 类型编号的完整列表,请访问
)或无效的 ICMP 类型值来测试不同类型的流量。例如,攻击
者可以将 ICMP 类型值设置为超出范围,从而导致拒绝服务和泛洪攻击。
可以使用小于号 (<) 和大于号 (>) 指定
itype
参数值的范围。
例如:
•
<35
•
>36
•
3<>55