Cisco Cisco Firepower Management Center 2000 User Guide

36-76

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

下表介绍了 

byte_extract

 关键字所需的参数。

要进一步定义系统如何查找要提取的数据，可以使用下表中所述的参数。

只能指定 

、

 或 

。

要定义 

byte_extract

 关键字如何计算其测试的字节，可以从下表中选择参数。如果未选择任何参

数，规则引擎将采用大端字节顺序。

可以指定数字类型来将数据读取为 ASCII 字符串。要定义系统如何在数据包中查看字符串，可选
择下表中所述的其中一个参数。

表 

所需的

参数 

参数

说明

Bytes to Extract

要从数据包提取的字节数。可以指定 1、 2、 3 或 4 字节。

Offset

从负载开头到开始提取数据之间的字节数。可指定 -65534 到 65535 字节。
偏移量计数器从字节 0 开始计数，因此，计算偏移量值时，应该用向前计
算所需的字节数减去 1。例如，指定 

7

 将会从 8 字节开始向前计算。规则引

擎会从数据包负载起点开始向前计算；如果还指定了 

，规则引擎会

从上一次成功内容匹配起向前计算。请注意，如果还指定了 

，只能

指定负数；有关详细信息，请参阅

Variable Name

用于其他检测关键字的参数中的变量名称。可以指定以字母开头的字母数
字字符串。

表 

其他可选的

参数 

参数

说明

倍数

从数据包提取的值的乘数。可指定 0 到 65535 之间的任意数字。如果未指
定乘数，将会默认设置为 1。

调整

将提取的数值四舍五入为最接近的 2 字节或 4 字节边界。如果选择了 

，系统会在进行舍入之前应用该乘数。

Relative

使

偏移量

相对于上一次成功内容匹配的结尾而不是负载起点。有关详细信

息，请参阅

表 

字节顺序

参数 

参数

说明

Big Endian

按大端字节顺序处理数据 （大端字节顺序是默认的网络字节顺序）。

Little Endian

按小端字节顺序处理数据

DCE/RPC

指定 DCE/RPC 预处理器处理的流量的 

byte_extract

 关键字。有关详情，请

。

由 DCE/RPC 预处理器确定大端字节顺序或小端字节顺序，

 和 

 参数不适用。

如果启用此参数，还可以将 

byte_extract

 与其他特定 DCE/RPC 关键字结合

使用。有关详情，请参见