snort规则byte_extract选项详解

最新推荐文章于 2024-08-02 16:22:25 发布
最新推荐文章于 2024-08-02 16:22:25 发布
阅读量666 收藏 19
点赞数 9
分类专栏: 详探snort规则 文章标签: tcp/ip 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoyong0519/article/details/136151303
版权

        byte_extract是snort规则语法中一个针对payload的算数逻辑运算规则选项,它的主要功能是从payload的指定位置获取指定长度的数据,并转换为数值,存储到指定的变量中,供规则中其它规则选项使用。

规则语法

规则样式

byte_extract: <num of bytes>, <offset> ,<var_name> , [,relative] [,multiplier  <mult-value> ] [,<endian>] [, dce] [, string [, <num_type>] [, align <align-value];

规则参数说明

参数

功能

<num of bytes>

从payload中选择提取的字节数

<offset>

从payload中开始提取内容的位置(offset若有relative修饰,则是当前位置加offset,若无relative修饰,则为payload开始位置偏移offset)

<var_name>

存储最终转换数值的变量名字

[relative]

Offset相对于最后一个匹配的content的偏移位置

multiplier <mult-value>

转换后的数值需要增加<mult-value>倍

<endian>

采用哪种模式处理指定内存中的数据:big/little

string <num_byte>

将字符串按照哪种进制转换成数值:hex(十六进制)/dec(十进制)/oct(八进制)

[dce]

允许DCE协议确定字节顺序(因为它自己确定字节序,故不能和endian类选项同时存在)

align <align-value>

按照align_value指定的数值对齐得到最终数值(align-value的取值只能是2或者4)

规则功能

         byte_extract的功能从payload的指定偏移的offset(offset若有relative修饰,则是当前位置加offset,若无relative修饰,则为payload开始位置偏移offset)位置,取nbytes个字符,按照字符串string(就是将字符串表示的值转换为对应的数值)或者大端或者小端的形式转换为数值a,然后将数值a乘以multiplier指定的mult_value值得到数值b,若设置了align选项,则按照align_value指定的数值对齐得到数值c,并将数值c设置到var_name代表的local_id中,供规则中其它选项使用,det_ctx->buffer_offset+nbytes (dce:针对dcerpc的检测,需要根据dcerpc的数据大小端处理方式,去处理内存中的数据)(若为little,则转换后得内存块内容不变,若为大端序,则内存块中的内容按照字节顺序颠倒)

注意:

       byte_extract、byte_math都是通过取指定位置的字节数运算得到结果,存储到规则临时变量中,供当前规则的其它选项使用。

实现原理

       关于byte_extract规则选项的实现原理,下面以suricata为例,展示byte_extract规则选项的语法功能实现原理。

规则选项编译

        选项编译即为获取规则中针对byte_extract规则选项的约束条件字符串,然后根据byte_extract规则选项的语法格式,对字符串进行解码。具体步骤如下:

  1. 获取byte_extract规则选项约束条件字符串;
  2. 对字符串以逗号为分割符,依次分割获取对应number of bytes/offset/value name这些基础信息字符串,并转换为对应的格式获取内容。
  3. 然后根据选择约束条件关键字依次判断是否含有该选择约束条件,并获取relative/ multiplier/endian/dce/ num_byte/align_value这几类选项的约束信息
  4. 将根据约束条件解码获取的信息存入新创建的DetectByteExtractData对象中
  5. 根据解码信息检测约束条件内容组合是否合规(如:若约束条件中含有dce属性,则不饿能含有endian属性,若同时含有则该约束选项不正确)

根据当前规则中已编译的byte_extract的数量,对当前规则选项DetectByteExtractData对象的local_id成员进行编号

规则选项检测

        在byte_extract规则选项检测过程中,根据待检测的payload内容,取一定的数值进行相关的操作,获取最终的数值存储到当前线程的byte_value对象中,供该规则的其它规则选项使用。具体检测逻辑如下:

  1. 获取待检测的payload数据;
  2. 根据选项约束条件中是否有relative及offset的值,确定数据的提取位置;
  3. 根据选项约束条件中的number bytes大小获取对应长度的待处理数据;
  4. 根据选项的约束条件中的endian配置,将指定长度的数据,按照指定的格式转换为数值;
  5. 根据选项的约束条件中的multiplier设置,将数值扩大指定的倍数,若未设置,则默认扩大一倍;
  6. 根据选项的约束条件中的align vlaue设置,确定数值是按照2的倍数还是4的倍数对齐,并对数值进行相应的对齐操作,若未设置,则默认不做对齐处理;
  7. 将处理后的数值,存入当前线程的byte_value对象中,供后续其它规则选项检测使用。

源码位置

suricata/src/detect-byte-extract.c

关键入口函数

  1. 规则编译入口函数: DetectByteExtractSetup
  2. 规则匹配入口函数: DetectByteExtractDoMatch
&黄粱一梦&
关注
  • 9
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SNORT3规则编写
windStudyer的专栏
03-01 8867
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号中包含的部分包含规则选项规则选项部分中冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
snort学习以及规则编写
fa1lr4in的小博客
03-27 2904
一、结构 CIDF模型(Common Intrusion Detection Framework): 包含事 件生成器(event generator:E-boxes),分析引擎(analysis engines:A-boxes),存储机制(storage mechanisms:D-boxes),以及响应模块(countermeasures:C-boxes) SNORT数据流 snort ...
getByte - Extract byte n from word x
sha_mo_li的博客
09-20 365
**/return x;}
snort2.9规则-学习笔记
weixin_44813582的博客
05-07 7046
目录 规则动作 协议部分 Ip地址 端口号 方向操作符 规则选项 general rule options payload detection rule options non-payload detection rule options post-detection rule options 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则...
snort规则byte_test规则选项详解
黄粱一梦
02-26 294
byte_test是snort规则中对payload进行检测时,很重要的逻辑运算规则选项。该规则选项主要功能是获取指定位置的数据进行数据运算并检测。
Snort_2_9_16_Installer.x86和x64.zip
06-30
Snort_2_9_16_Installer.x86和x64.zip,Windows下Snort2.9.16 x86和x64版本
snort_2_9 Installer
02-20
Snort_2_9_3_1_Installer.exe 是Snort 2.9.3.1版本的安装程序,这表明它是一个Windows平台的安装包。这个版本可能包含以下关键改进和特性: 1. 性能优化:2.9版本的Snort可能在处理网络流量的速度上有所提升,这...
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
Snort_2_9_8_0_Installer.zip
05-21
用有行序号的程序打开文件进行配置,会方便很多。
Snort_2_9_4_1_Installer.exe
03-21
一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System)
snort规则byte_test详细解释
陈止风的博客
12-13 4843
网上关于snort规则的解读不够详细,有些规则甚至没有具体的解释。 根据个人经验,介绍几个如下: Byte_Test 测试一个字节的域为特定的值。能够测试二进制值或者把字节字符串转换成二进制后再测试。 格式:byte_test: , , , [[relative],[big],[little],[string],[hex],[dec],[oct]] bytes_to_convert 从数
TCP/IP_IP协议简介
m0_73620971的博客
08-02 435
1、IP 地址分为网络号和主机号。2、若子网中新增一台主机,则网络号需跟子网一致,主机号不能跟子网中其他主机重复。3、私网IP:10.* 、172.16 - 172.31.* 、192.168.*
【socket编程】预备知识 {IP地址和MAC地址;端口号;认识TCP/UDP协议;网络字节序;socket编程入门}
芥末虾的博客
08-02 679
【socket编程】预备知识 {IP地址和MAC地址;端口号;认识TCP/UDP协议;网络字节序;socket编程入门}
未知攻焉知防:从攻击者视角看网络安全的“攻守之道”
科技云报道
08-01 380
基于独特的“动态安全+AI”技术思想,瑞数信息综合运用自动化攻击保护、0day防护、多源低频防护、多维度分层分级对抗等多种安全防护策略和手段,还推出瑞数WAAP超融合平台,支持WAF、Bots防护、0day攻击防护、应用DDoS防护、API安全防护等多项安全产品单独或联合部署,能够覆盖Web、移动App、H5、API及IoT全应用渠道,提供多层级的联动防御机制,令企业在各类复杂的环境中,都可以轻松实现应用安全一体化防御。其次,由于供应链数量众多,类型错综复杂,导致安全难以做到统一管理,供应链风险与日俱增。
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!
互联网架构小马的博客
07-31 613
网络就像一把双刃剑,给我们的生活、交流、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全和安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议。
【Vulnhub系列】Vulnhub Connect-The-Dots 靶场渗透(原创)
最新发布
Lusen的博客
08-02 533
Vulnhub系列Connect-The-Dots靶场做题记录
计算机网络—电路、分组、报文交换—图文详解
喻师傅的学习笔记
07-31 821
计算机网络—三种交换方式图文详解
Springboot+Websocket+Security+Vue 实现弹幕推送功能
Gemini1995的博客
08-01 559
【代码】Springboot+Websocket+Security+Vue 实现弹幕推送功能。
Snort入侵检测系统源码详解规则解析
6. 创建默认规则和解析规则文件:这部分展示了如何定义和处理Snort规则,包括解析规则选项,如IP地址范围、端口匹配等。 7. Fast Packet Detection (FPD):文章可能介绍了Snort如何利用高效的算法来快速处理大量...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值