Cisco Cisco Firepower Management Center 2000 Mode D'Emploi
36-20
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
Offset
指定数据包负载中开始内容搜索的位置与数据包负载起点之间的距离 (以字节为单位)。可
指定 -65535 到 65535 字节之间的值。
指定 -65535 到 65535 字节之间的值。
由于偏移量计数器从字节 0 开始计算,因此,应指定比所需字节数小 1 的值,以便从数据包
负载起点开始继续搜索。例如,如果指定 7,搜索将从第八个字节开始。
负载起点开始继续搜索。例如,如果指定 7,搜索将从第八个字节开始。
默认偏移量是 0,表示数据包起点。
Within
注
此选项仅在配置
content
关键字时可用。有关详细信息,请参阅
。
Within
选项指明,要触发规则,下一次内容匹配必须发生在上一次成功内容匹配结束之后指
定数量的字节内。例如,如果将
Within
值指定为
8
,下一次内容匹配必须出现在数据包负载中
接下来的八个字节之内,否则将无法满足触发规则的条件。
可以指定一个大于或等于指定内容长度的数值,最多 65535 字节。
Within
的默认设置是搜索至数据包终点。
在 content 关键字中使用搜索位置选项
可以使用两个
content
位置对指定开始搜索指定内容的位置以及继续搜索的深度,如下所述:
•
同时使用
Offset
和
Depth
选项可相对于数据包负载起点进行搜索。
•
同时使用
Distance
和
Within
可相对于当前搜索位置进行搜索。
如果仅指定选项对中的其中一个选项,系统将会假设另一个选项使用默认值。
不能将
Offset
和
Depth
选项与
Distance
和
Within
选项混合使用。例如,不能将
Offset
和
Within
这两个
选项配对。可以在规则中使用任意数量的位置选项。
如果未指定位置,系统将假设
Offset
和
Depth
选项为默认值;也就是说,将从数据包负载起点开始
进行内容搜索,直至数据包终点。
还可以使用现有
byte_extract
变量指定位置选项的值。有关详情,请参见
要通过网络界面在 content 关键字中指定搜索位置值,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在字段中为添加的
content
关键字键入一个值。有以下选项可供选择:
•
Offset
•
Depth
•
Distance
•
Within
可以在规则中使用任意数量的位置选项。
步骤 2
继续创建或编辑规则。有关详细信息,请参阅
。