Cisco Cisco Firepower Management Center 2000 User Guide

36-85

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

在这种情况下，如果之前的数据包已促使包含第一个分片的规则触发，则包含第二个分片的规则
将会触发并生成事件。

导致误报的 flowbits 示例

在一个组中包含在不同规则中设置的不同状态名称可防止误报事件；如果后续数据包中的内容与
状态不再有效的规则相匹配，就会出现误报事件。以下示例说明不在一个组中包含多个状态名称
如何会导致误报。

假设以下三个规则分片在一个会话中按所示的顺序触发：

(msg:"JPEG transfer"; content:"image/";pcre:"/^Content-

 

Type\x3a(\s*|\s*\r?\n\s+)image\x2fp?jpe?g/smi";

 

flowbits:set,http.jpeg; flowbits:noalert;)

下图说明了上述规则分片中 

flowbits

 关键字的影响：

第一个规则分片中的 

content

 和 

pcre

 关键字与 JPEG 文件下载相匹配，

flowbits:set,http.jpeg

 

设置 

http.jpeg

 

flowbits

 状态，

flowbits:noalert

 使规则停止生成事件。将不会生成事件，因为

该规则的目的是检测文件下载并设置 

flowbits

 状态；为此，一个或多个伴随规则可以测试状态名

称和恶意内容，如果检测到恶意内容，将会生成事件。

以下规则分片检测在上述 JPEG 文件下载之后发生的 GIF 文件下载：

(msg:"GIF transfer"; content:"image/"; pcre:"/^Content-

 

Type\x3a(\s*|\s*\r?\n\s+)image\x2fgif/smi";

 

flowbits:set,http.tif,image_downloads; flowbits:noalert;)

下图说明了上述规则分片中 

flowbits

 关键字的影响：

第二个规则中的 

content

 和 

pcre

 关键字与 GIF 文件下载相匹配，

flowbits:set,http.gif

 设置 

http.gif

 流位状态，

flowbits:noalert

 停止规则生成事件。请注意，仍会设置由第一个规则分片

设置的 

http.jpeg

 状态，即使不再需要使用它；这是因为如果检测到后续 GIF 下载，JPEG 下载必

须终止。

第三个规则分片伴随第一个规则分片出现：

(msg:"JPEG exploit";

 

flowbits:isset,http.jpeg;content:"|FF|"; pcre:"

 

/\xFF[\xE1\xE2\xED\xFE]\x00[\x00\x01]/";)