Cisco Cisco Firepower Management Center 2000 User Guide
36-74
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
isdataat
许可证:保护
isdataat
关键字指示规则引擎验证数据是否驻留在负载中的特定位置。
下表列出了可与
isdataat
关键字配合使用的参数。
例如,在查找内容
foo
的规则搜索中,如果如下指定
isdataat
的值:
•
Offset = !10
•
Relative 已启用
那么,如果规则引擎在负载结束前未能在
foo
之后检测到 10 字节,系统将会发出警报。
要使用 isdataat,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
isdataat
并点击
Add Option
。
系统将显示
isdataat
部分。
sameip
许可证:保护
sameip
关键字测试数据包的源 IP 地址和目标 IP 地址是否相同。此关键字没有参数。
fragoffset
许可证:保护
fragoffset
关键字测试分片数据包的偏移量。由于某些漏洞 (例如, WinNuke 拒绝服务攻击)
使用手动生成的具有特定偏移量的数据包分片,因此,此关键字很有用。
例如,要测试分片数据包的偏移量是否为 31337 字节,应指定
31337
作为
fragoffset
的值。
表
36-45
isdataat
参数
参数
类型
说明
Offset
必填
负载中的特定位置。例如,要测试显示在数据包中字节 50 处的数据,需
要指定
要指定
50
作为偏移量值。A
!
修饰符否定
isdataat
测试的结果;如果负载
中不存在一定数量的数据,此修饰符将会发出警报。
还可以使用现有
byte_extract
变量指定此参数的值。有关详情,请参见
Relative
可选
使位置相对于上一次成功内容匹配。指定相对位置时请注意,计数器从字
节 0 开始计算,因此,应该如下计算相对位置:用从上一次成功内容匹配
起向前计算所需的字节数减去 1。例如,要指定数据必须显示在上一次成
功内容匹配后的第九个字节处,需要将相对偏移量指定为
节 0 开始计算,因此,应该如下计算相对位置:用从上一次成功内容匹配
起向前计算所需的字节数减去 1。例如,要指定数据必须显示在上一次成
功内容匹配后的第九个字节处,需要将相对偏移量指定为
8
。
Raw Data 可选
指定数据在由任何 FireSIGHT 系统预处理器进行解码或规范化之前位于原
始数据包负载中。如果上一次内容匹配出现在原始数据包数据中,可以将
此参数与
始数据包负载中。如果上一次内容匹配出现在原始数据包数据中,可以将
此参数与
Relative
结合使用。