Cisco Cisco Firepower Management Center 2000 User Guide

36-77

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

例如，如果如下指定 

byte_extract

 的值：

Bytes to Extract = 4

Variable Name = var

Offset = 8

Relative 已启用

那么，规则引擎将会距离 （相对于）上一次成功内容匹配 9 字节的四个字节中描述的数字读取到
名为 

var

 的变量中 （然后，您可以将该数字指定为某些关键字参数的值）。

下表列出了可以在其中指定 

byte_extract

 关键字中定义的变量的关键字参数。

要使用 byte_extract，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

byte_extract

 并点击 

。

byte_extract

 部分将显示在上次选择的关键字下方。

使用规则关键字发起活动响应

许可证：保护

系统可以发起活动响应，以在响应触发的 TCP 规则时关闭 TCP连接，或者在响应触发的 UDP 规
则时关闭 UDP 会话。有两个关键字提供了两种不同的活动响应发起方法。如果数据包触发包含
这两个关键字当中的任何一个，系统将发起单一活动响应。您还可以使用 

config response

 命令

配置要使用的活动响应接口以及要在被动部署中尝试的 TCP 重置次数。

活动响应在内联部署中最有效，因为重置更有可能及时到达以影响连接或会话。例如，在内联部
署中对 

react

 关键字作出响应时，系统会为连接的两端将 TCP 重置 (RST) 数据包直接插入到流量

中 （正常情况下，这样应该会关闭连接）。

表 

数字类型

参数 

参数

说明

Hexadecimal String 以十六进制格式读取提取的字符串数据。

Decimal String

以十进制格式读取提取的字符串数据。

Octal String

以八进制格式读取提取的字符串数据。

表 

接受

变量的参数 

关键字

参数

有关详细信息，请参阅......

content

Depth、 Offset、 Distance、 Within

byte_jump

Offset

byte_test

Offset、 Value

isdataat

Offset