Cisco Cisco Firepower Management Center 2000 User Guide
36-85
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
在这种情况下,如果之前的数据包已促使包含第一个分片的规则触发,则包含第二个分片的规则
将会触发并生成事件。
将会触发并生成事件。
导致误报的 flowbits 示例
在一个组中包含在不同规则中设置的不同状态名称可防止误报事件;如果后续数据包中的内容与
状态不再有效的规则相匹配,就会出现误报事件。以下示例说明不在一个组中包含多个状态名称
如何会导致误报。
状态不再有效的规则相匹配,就会出现误报事件。以下示例说明不在一个组中包含多个状态名称
如何会导致误报。
假设以下三个规则分片在一个会话中按所示的顺序触发:
(msg:"JPEG transfer"; content:"image/";pcre:"/^Content-
Type\x3a(\s*|\s*\r?\n\s+)image\x2fp?jpe?g/smi";
flowbits:set,http.jpeg; flowbits:noalert;)
下图说明了上述规则分片中
flowbits
关键字的影响:
第一个规则分片中的
content
和
pcre
关键字与 JPEG 文件下载相匹配,
flowbits:set,http.jpeg
设置
http.jpeg
flowbits
状态,
flowbits:noalert
使规则停止生成事件。将不会生成事件,因为
该规则的目的是检测文件下载并设置
flowbits
状态;为此,一个或多个伴随规则可以测试状态名
称和恶意内容,如果检测到恶意内容,将会生成事件。
以下规则分片检测在上述 JPEG 文件下载之后发生的 GIF 文件下载:
(msg:"GIF transfer"; content:"image/"; pcre:"/^Content-
Type\x3a(\s*|\s*\r?\n\s+)image\x2fgif/smi";
flowbits:set,http.tif,image_downloads; flowbits:noalert;)
下图说明了上述规则分片中
flowbits
关键字的影响:
第二个规则中的
content
和
pcre
关键字与 GIF 文件下载相匹配,
flowbits:set,http.gif
设置
http.gif
流位状态,
flowbits:noalert
停止规则生成事件。请注意,仍会设置由第一个规则分片
设置的
http.jpeg
状态,即使不再需要使用它;这是因为如果检测到后续 GIF 下载,JPEG 下载必
须终止。
第三个规则分片伴随第一个规则分片出现:
(msg:"JPEG exploit";
flowbits:isset,http.jpeg;content:"|FF|"; pcre:"
/\xFF[\xE1\xE2\xED\xFE]\x00[\x00\x01]/";)