Cisco Cisco Firepower Management Center 4000 Guía Del Usuario
36-57
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
sip_header
许可证:保护
可以使用
sip_header
关键字从提取的 SIP 请求或响应报头开头开始检查,并将检查限制为仅针对
报头字段。
sip_header
关键字没有参数。有关详细信息,请参阅
。
以下示例规则分片指向 SIP 报头并匹配 Cseq 报头字段:
alert udp any any -> any 5060 ( sip_header; content:"CSeq"; )
sip_body
许可证:保护
可以使用
sip_body
关键字在提取的 SIP 请求或响应消息正文开头开始检查,并将检查限制为仅针
对消息正文。
sip_body
关键字没有参数。
以下示例规则分片指向 SIP 消息正文,并匹配所提取 SDP 数据的 c(连接信息)字段中的特定 IP
地址:
地址:
alert udp any any -> any 5060 ( sip_body; content:"c=IN 192.168.12.14"; )
请注意,规则不仅限于搜索 SDP 内容。 SIP 预处理器将提取整个消息正文并使其可供规则引擎使用。
sip_method
许可证:保护
每个 SIP 请求中的 method 字段用于识别请求的目的。可以使用
sip_method
关键字测试特定方法
的 SIP 请求。使用逗号隔开多种方法。
可以指定以下当前定义的任何 SIP 方法:
Ack、 benotify、 bye、 cancel、 do、 info、 invite、 join、 message、 notify、 options、 prack、
publish、 quath、 refer、 register、 service、 sprack、 subscribe、 unsubscribe、 update
方法不区分大小写。可以使用逗号分隔多种方法。
由于可能在将来定义新的 SIP 方法,因此也可以指定自定义方法 (即,当前未定义的方法)。
RFC 2616 中定义了接受的字段值,该规范允许除控制字符和分隔符 (例如
RFC 2616 中定义了接受的字段值,该规范允许除控制字符和分隔符 (例如
=
、
(
和
}
)以外的所
有字符。有关被排除分隔符的完整列表,请参阅 RFC 2616。如果系统在流量中遇到指定的自定义
方法,它将检查数据包报头,但不检查消息。
方法,它将检查数据包报头,但不检查消息。
系统最多支持 32 种方法,包括 21 种当前定义的方法和 11 种其他方法。系统将忽略您可能配置的
任何未定义的方法。请注意,总共有 32 种方法,包括使用
任何未定义的方法。请注意,总共有 32 种方法,包括使用
Methods to Check
SIP 预处理器选项指定
的方法。有关详情,请参见
。
如果使用否定形式,只能指定一种方法。例如:
!invite
但请注意,一个规则中的多个
sip_method
关键字与
AND
运算相关联。例如,要测试除
invite
和
cancel
以外的所有提取的方法,可以使用两个否定形式的
sip_method
关键字:
sip_method: !invite
sip_method: !cancel
思科建议在包含
sip_method
关键字的规则中至少包含一个
content
关键字,以确保规则引擎使用
快速模式匹配程序,从而加快处理速度和提高性能。请注意,如果规则包含至少一个
content
关
键字,无论您是否启用
content
关键字的
Use Fast Pattern Matcher
参数,规则引擎都会使用快速模式
匹配程序。有关详细信息,请参阅