Cisco Cisco Firepower Management Center 4000 Guía Del Usuario

36-57

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

许可证：保护

可以使用 

sip_header

 关键字从提取的 SIP 请求或响应报头开头开始检查，并将检查限制为仅针对

报头字段。

sip_header

 关键字没有参数。有关详细信息，请参阅

。

以下示例规则分片指向 SIP 报头并匹配 Cseq 报头字段：

alert udp any any -> any 5060 ( sip_header; content:"CSeq"; )

许可证：保护

可以使用 

sip_body

 关键字在提取的 SIP 请求或响应消息正文开头开始检查，并将检查限制为仅针

对消息正文。

sip_body

 关键字没有参数。

以下示例规则分片指向 SIP 消息正文，并匹配所提取 SDP 数据的 c（连接信息）字段中的特定 IP 
地址：

alert udp any any -> any 5060 ( sip_body; content:"c=IN 192.168.12.14"; )

请注意，规则不仅限于搜索 SDP 内容。 SIP 预处理器将提取整个消息正文并使其可供规则引擎使用。

许可证：保护

每个 SIP 请求中的 method 字段用于识别请求的目的。可以使用 

sip_method

 关键字测试特定方法

的 SIP 请求。使用逗号隔开多种方法。

可以指定以下当前定义的任何 SIP 方法：

Ack、 benotify、 bye、 cancel、 do、 info、 invite、 join、 message、 notify、 options、 prack、

publish、 quath、 refer、 register、 service、 sprack、 subscribe、 unsubscribe、 update

方法不区分大小写。可以使用逗号分隔多种方法。

由于可能在将来定义新的 SIP 方法，因此也可以指定自定义方法 （即，当前未定义的方法）。
RFC 2616 中定义了接受的字段值，该规范允许除控制字符和分隔符 （例如 

=

、

(

 和 

}

）以外的所

有字符。有关被排除分隔符的完整列表，请参阅 RFC 2616。如果系统在流量中遇到指定的自定义
方法，它将检查数据包报头，但不检查消息。

系统最多支持 32 种方法，包括 21 种当前定义的方法和 11 种其他方法。系统将忽略您可能配置的
任何未定义的方法。请注意，总共有 32 种方法，包括使用 

 SIP 预处理器选项指定

的方法。有关详情，请参见

。

如果使用否定形式，只能指定一种方法。例如：

!invite

但请注意，一个规则中的多个 

sip_method

 关键字与 

 运算相关联。例如，要测试除 

invite

 和 

cancel

 以外的所有提取的方法，可以使用两个否定形式的 

sip_method

 关键字：

sip_method: !invite

sip_method: !cancel

思科建议在包含 

sip_method

 关键字的规则中至少包含一个 

content

 关键字，以确保规则引擎使用

快速模式匹配程序，从而加快处理速度和提高性能。请注意，如果规则包含至少一个 

content

 关

键字，无论您是否启用 

content

 关键字的 

 参数，规则引擎都会使用快速模式

匹配程序。有关详细信息，请参阅