snort规则byte_test规则选项详解

最新推荐文章于 2024-07-22 14:29:09 发布
最新推荐文章于 2024-07-22 14:29:09 发布
阅读量289 收藏 10
点赞数 4
分类专栏: 详探snort规则 文章标签: 网络 tcp/ip 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoyong0519/article/details/136297954
版权
本文详细介绍了snort规则中的byte_test选项,它用于在payload检测中执行逻辑运算,包括获取指定位置的数据、转换字节顺序、与预期值比较等功能,并通过示例规则展示了其使用方法。
摘要由CSDN通过智能技术生成

 byte_test是snort规则中对payload进行检测时,很重要的逻辑运算规则选项。该规则选项主要功能是获取指定位置的数据进行数据运算并检测。

规则语法

规则样式

byte_test:<num of bytes>, [!]<operator>, <test value>, <offset> [,relative] [,<endian>][, string, <num type>][, dce][, bitmask <bitmask value>];

参数说明

参数

功能说明

< num of bytes>

使用的字节个数

<operator>

1. !

2. <;>;=;<=;>=;&;^

<test value>

最终比较的预期结果值(可以为十六进制或者十进制数)

<offset>

获取内容的位置

[relative]

若有relative修饰则offset是指从上一个content匹配位置之后开始计算,若无relative修饰,则offset是指从待检测的内容开始计算偏移字节数

multiplier <mult_value>

结果值扩大mult_value倍

<endian>

big:大端字节序处理

little:小端字节序处理

[string, <num_type>]

hex|dec|oct

[dce]

使用dcerpc协议决定字节序

[bitmask <value>]

计算的的结果值与上当前的掩码值得到最终结果值(uint64_t)

功能说明

byte_test的功能就是从payload的指定偏移的offset(offset若有relative修饰,则是当前位置加offset,若无relative修饰,则为payload开始位置偏移offset)位置,取nbytes个字符,按照字符串string或者大端或者小端的形式转换为数值,与上bitmask,并左移bitmask位,然后根据operate指定的比较符与test-value比较值大小,并返回结果

注意:

byte_test中的test-value和offset可以为字符串,则相当于名字,需要在byte_extract或者byte_match的result中定义。

示例规则

为了更好的展示byte_test的用法,当前示例规则为综合性的语法规则。

alert tcp any any -> any any (msg:"byte_test option test!"; seq:100; byte_extract:2,1,test_value,relative,multiplier 6,little,align 2; byte_test:2,=,test_value,18,relative,string,hex,bitmask 0x1010;sid:1011106; rev:1;)

&黄粱一梦&
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
snort--byte_test,byte_jump用法
energysober的博客
03-31 3136
byte_test byte_jump 用法详解 byte_test: 测试一个字节的域为特定的值。能够测试二进制值或者把字节字符串转换成二进制后再测试。 格式:byte_test:,,,[[relative],[big],[little],[string],[hex],[dec],[oct]] bytes_to_convert 从数据包取得的字节数。 operator 对检测执行的...
snort 规则 byte_test 不同运算符命中条件
weixin_38167847的博客
08-07 372
一般情况下我们遇到的snort规则byte_test: 1,>,1000,10 意思是 相对于上次content匹配结束的位置,向后偏移10个,再取一个数转化为10进制数大于1000,则匹配成功 而有时候我们大概会遇到这样的: byte_test:1,!&,0xF8,2; content:"|29|iuqerfsodp9ifjaposdfjhgosurijf...
snort规则byte_test详细解释
陈止风的博客
12-13 4839
网上关于snort规则的解读不够详细,有些规则甚至没有具体的解释。 根据个人经验,介绍几个如下: Byte_Test 测试一个字节的域为特定的值。能够测试二进制值或者把字节字符串转换成二进制后再测试。 格式:byte_test: , , , [[relative],[big],[little],[string],[hex],[dec],[oct]] bytes_to_convert 从数
30 snort 规则
Ghost
06-21 2120
项关键字。 msg - 在报警和包日志中打印一个消息。 logto - 把包记录到用户指定的文件中而不是记录到标准输出。 ttl - 检查ip头的ttl的值。 tos 检查IP头中TOS字段的值。 id - 检查ip头的分片id值。 ipoption 查看IP选项字段的特定编码。 fragbits 检查IP头的分段位。 dsize - 检查包的净荷尺寸的值 。 flags -
snort规则byte_test参数详解
weixin_30762087的博客
08-07 416
例子: byte_test:4,>,1000,20 这里是从本规则内前面匹配的位置结尾开始,向后偏移20个字节,再获取后面的4个字节的数据,与十进制数据1000进行比较,如果大于1000,就命中。 其实byte_test这个规则与content这个规则相比大致就是增加了>和<这两个方法,因为对content来说其只能进行相等的比较。 byte_test:1,!&...
Snort_2_9_16_Installer.x86和x64.zip
06-30
Snort_2_9_16_Installer.x86和x64.zip,Windows下Snort2.9.16 x86和x64版本
snort规则库 好东西
12-22
snort规则库,下载后直接解压到snort文件夹下,覆盖就行了
snort_2_9 Installer
02-20
Snort_2_9_3_1_Installer.exe 是Snort 2.9.3.1版本的安装程序,这表明它是一个Windows平台的安装包。这个版本可能包含以下关键改进和特性: 1. 性能优化:2.9版本的Snort可能在处理网络流量的速度上有所提升,这...
snort3通用规则_snortrules
09-19
6. **选项(Options)**:如"uricontent"匹配URL中的内容,"pcre"使用正则表达式匹配,"byte_test"检查字节值等。 7. **优先级(Priority)**:规则的紧急程度,影响匹配顺序和处理速度。 在"snort3-community-...
IDS入侵检测系统与开源IDS-snort的安装与编写规则
weixin_64655821的博客
10-01 3787
IDS入侵检测系统与开源IDS-snort的安装与编写规则
(转载)Snort 2.x数据区搜索规则选项的改进
Kendiv's Box
09-28 3138
Snort 2.x数据区搜索规则选项的改进创建时间:2005-09-27文章属性:原创文章提交:stardust (stardust_at_xfocus.org)Snort 2.x的规则选项与2.0以前的版本相比有了相当大的改进,有必要介绍和分析一下。首先翻译一下Snort使用手册中相关的规则选项说明。由于这个手册写的极烂,很多地方意思表述重复冗长,用词不准确,而且还有些明显的错误,应该仔细说明的
【Socket 编程】基于UDP协议建立多人聊天室
稻草人敲代码的博客
07-19 369
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 388
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
docker build时的网络问题
flynetcn的专栏
07-19 284
docker build网络问题
安徽京准:NTP网络时间服务器的几种应用场景
NTP授时服务器
07-19 209
安徽京准:NTP网络时间服务器的几种应用场景
某企业网络及服务器规划与设计
最新发布
cj13106811623的博客
07-22 785
在此次系统设计中,我们采用分层设计方法,将网络的逻辑结构化整为零,分层讨论设计与实现的细节问题。将网络拓扑结构划分为3个层次,即核心层、汇聚层和接入层。
Java 网络编程(TCP编程 和 UDP编程)
weixin_61635597的博客
07-18 1221
我们开发的网络应用程序位于应用层,TCP和UDP属于传输层协议,在应用层如何使用传输层的服务呢?在应用层和传输层之间,则是使用套接Socket来进行分离。套接字就像是传输层为应用层开的一个小口,应用程序通过这个小口向远程发送数据,或者接收远程发来的数据。而这个小口以内,也就是数据进入这个口之后,或者数据从这个口出来之前,是不知道也不需要知道的,也不会关心它如何传输,这属于网络其它层次工作。Socket实际是传输层供给应用层的编程接口。Socket就是应用层与传输层之间的桥梁。
snort 规则下载
08-19
Snort 规则下载是指通过网络Snort IDS(入侵检测系统)所需的规则集下载到本地机器上。 首先,为了下载 Snort 规则,我们需要访问 Snort 官方网站或其他可靠的资源,如 Snort 规则公开数据库。在网站的下载页面上,可以找到 Snort 规则集的最新版本或特定版本。下载页面通常提供一系列规则集的选项,用户可以根据自己的需求选择适合的版本。 下载 Snort 规则集后,我们需要将其保存到本地机器的合适位置。通常,规则集以压缩文件(如.tar.gz 或 .zip)的形式提供,因此我们可以使用压缩解压工具(如WinRAR或7-Zip)来解压缩文件。 当规则集被解压缩后,我们就可以将其用于 Snort IDS。将规则集复制到 Snort 安装目录下的规则文件夹中。根据操作系统的不同,规则文件夹的位置可能会有所不同。 在将规则集复制到规则文件夹之后,我们需要确认 Snort 配置文件(snort.conf)是否正确指向了规则文件夹。我们可以使用文本编辑器打开 snort.conf 文件,并查找规则路径指令(如include或var RULE_PATHS),确保路径与规则集的位置相匹配。 完成以上步骤后,我们可以重新启动 Snort IDS,并验证是否成功加载了最新的规则。 总结来说,Snort 规则下载是通过从可靠资源下载最新的规则集,并将其保存到本地机器,然后将其用于 Snort IDS,以提高入侵检测的准确性和效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值