Cisco Cisco Firepower Management Center 4000 Guida Utente
36-28
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
步骤 3
从下拉列表中选择
replace
并点击
Add Option
。
replace
关键字将显示在
content
关键字下方。
步骤 4
在
replace:
字段中为指定内容指定替代字符串。
使用 Byte_Jump 和 Byte_Test
许可证:保护
可以使用
byte_jump
和
byte_test
来计算规则引擎应在数据包中的哪个位置开始测试数据匹配以
及应评估哪些字节。
还可以使用
byte_jump
和
byte_test
DCE/RPC
参数来定制 DCE/RPC 预处理器处理的流量的关键字。
如果使用
DCE/RPC
参数时,还可以将
byte_jump
和
byte_test
与其他特定 DCE/RPC 关键字一起使
用。有关详细信息,请参阅
和
有关详细信息,请参阅以下各节:
•
•
byte_jump
许可证:保护
byte_jump
关键字首先计算指定字节段中定义的字节数,然后在数据包中跳过该数量的字节 - 可以
从指定字节段的末尾向前跳,也可以从数据包负载起点向前跳,具体取决于指定的选项。这对于
具有如下特点的数据包很有用:数据包中的特定字节段描述数据包所包含的变量数据。
具有如下特点的数据包很有用:数据包中的特定字节段描述数据包所包含的变量数据。
下表介绍了
byte_jump
关键字所需的参数。
下表介绍了可用于定义系统如何解释您为必需参数指定的值的选项。
表
36-8
所需的
byte_jump
参数
参数
说明
字节
从数据包进行计算的字节数。
Offset
从负载开头到开始进行处理之间的字节数。
偏移量
计数器从字节 0 开始计
数,因此,应该如下计算
offset
值:用从数据包负载起点或上一次成功内
容匹配起向前跳所需的字节数减去 1。
还可以使用现有
byte_extract
变量指定此参数的值。有关详情,请参见
表
36-9
其他可选
byte_jump
参数
参数
说明
Relative
使偏移量相对于上一次成功内容匹配中找到的上一个模式。
调整
将转换的字节数四舍五入为下一个 32 位边界。