Cisco Cisco Firepower Management Center 2000 User Guide

36-70

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

可以使用 

modbus_unit

 关键字来匹配 Modbus 请求或响应报头中的 Unit ID 字段。

要指定 Modbus 单元 ID，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

 并点击 

。

系统将显示 

modbus_unit

 关键字。

步骤 2

指定一个 0 到 255 之间的十进制值。

DNP3 关键字

许可证：保护

DNP3 关键字可用于以下目的：指向应用层分片的开头；匹配 DNP3 响应和请求中的 DNP3 函数
代码和函数对象；以及匹配 DNP3 响应中的内部指示标志。可以单独使用 DNP3 关键字，也可以
将它与其他关键字 （例如 

content

 和 

byte_jump

 关键字）结合使用。

有关详细信息，请参阅以下各节：

可以使用 

dnp3_data

 关键字指向重组 DNP3 应用层分片的开头。

DNP3 预处理器将链路层帧重组到应用层分片中。

dnp3_data

 关键字指向每个应用层分片的开头；

其他规则选项可匹配分片中的重组数据，而无需每 16 个字节分隔数据并添加校验和。

要指向重组 DNP3 分片的开头，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

 并点击 

。

系统将显示 

dnp3_data

 关键字。

dnp3_data

 关键字没有参数。

可以使用 

dnp3_func

 关键字来匹配 DNP3 应用层请求或响应报头中的 Function Code 字段。可以为 

DNP3 函数代码指定一个已定义的十进制值或一个已定义的字符串。

下表列出了系统识别出的为 DNP3 函数代码定义的值和字符串。