Cisco Cisco Firepower Management Center 4000 Mode D'Emploi
36-87
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
第三个规则分片不会导致误报:
(msg:"JPEG exploit";
flowbits:isset,http.jpeg;content:"|FF|"; pcre:"/
\xFF[\xE1\xE2\xED\xFE]\x00[\x00\x01]/";)
下图说明了上述规则分片中
flowbits
关键字的影响:
由于
flowbits:isset,http.jpeg
为假,因此,规则引擎会停止处理规则,且不会生成事件,从而
避免误报 (即使 GIF 文件中的内容与 JPEG 文件的漏洞内容相匹配)。
生成关于 HTTP 编码类型和位置的事件
许可证:保护
可以使用
http_encode
关键字在未经规范化的 HTTP 请求或响应中生成关于编码类型的事件 - 可
以是在 HTTP URI 中,在 HTTP 报头的非 cookie 数据中,在 HTTP 请求报头的 cookie 中,或者在
HTTP 响应的 set-cookie 数据。
HTTP 响应的 set-cookie 数据。
必须配置 HTTP 检查预处理器以检查 HTTP 响应和 HTTP cookie,从而使用
http_encode
关键字返
回规则的匹配项。有关详细信息,请参阅
。
此外,要使入侵规则中的
http_encode
关键字针对特定编码类型触发事件,必须在 HTTP 检查预
处理器配置中为该编码类型启用解码和警报选项。有关详情,请参见
。
请注意, base36 编码类型已被弃用。为了实现向后兼容性,允许在现有规则中使用 base36 参数,
但它不会使规则引擎检查 base36 流量。
但它不会使规则引擎检查 base36 流量。
下表介绍了此选项可在 HTTP URI、报头、 cookie 和 set-cookie 中为其生成事件的编码类型。
表
36-58
HTTP_encode
编码类型
编码类型
说明
utf8
如果此编码类型已启用,并可供 HTTP 检查预处理器进行解码,将会在指定位
置检测 UTF-8 编码。
置检测 UTF-8 编码。
double_encode 如果此编码类型已启用,并可供 HTTP 检查预处理器进行解码,将会在指定位
置检测双编码。
non_ascii
如果检测到非 ASCII 字符但检测到的编码类型未启用,将会在指定位置检测非
ASCII 字符。
ASCII 字符。
uencode
如果此编码类型已启用,并可供 HTTP 检查预处理器进行解码,将会在指定位
置检测 Microsoft %u 编码。
置检测 Microsoft %u 编码。
bare_byte
如果此编码类型已启用,并可供 HTTP 检查预处理器进行解码,将会在指定位
置检测裸字节编码。
置检测裸字节编码。