snort规则中byte_test参数详解

最新推荐文章于 2024-02-26 14:05:12 发布
最新推荐文章于 2024-02-26 14:05:12 发布
阅读量416 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/dmfcjd/p/11315067.html
版权

例子:

byte_test:4,>,1000,20

这里是从本规则内前面匹配的位置结尾开始,向后偏移20个字节,再获取后面的4个字节的数据,与十进制数据1000进行比较,如果大于1000,就命中。

其实byte_test这个规则与content这个规则相比大致就是增加了>和<这两个方法,因为对content来说其只能进行相等的比较。

byte_test:1,!&,0xF8,2

“2”:我们位于DNS协议的第三个字节。“1”:这显示了我们将从“2”位置取多少字节:一个字节。“!&“:这意味着我们将对第三个字段中的值执行“而不是”二进制操作。

那么该参数表示将从之前紧邻的content匹配的内容之后偏移两个字节,从第三个字节开始获取一个字节,与0xF8进行匹配;若符合操作符“!&“,则命中;否则,不命中。

0xF8:1111 1000

匹配:

0x07:0000 0111

 

转载于:https://www.cnblogs.com/dmfcjd/p/11315067.html

weixin_30762087
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
snort3通用规则_snortrules
09-19
6. **选项(Options)**:如"uricontent"匹配URL的内容,"pcre"使用正则表达式匹配,"byte_test"检查字节值等。 7. **优先级(Priority)**:规则的紧急程度,影响匹配顺序和处理速度。 在"snort3-community-...
snort规则byte_test详细解释
陈止风的博客
12-13 4839
网上关于snort规则的解读不够详细,有些规则甚至没有具体的解释。 根据个人经验,介绍几个如下: Byte_Test 测试一个字节的域为特定的值。能够测试二进制值或者把字节字符串转换成二进制后再测试。 格式:byte_test: , , , [[relative],[big],[little],[string],[hex],[dec],[oct]] bytes_to_convert 从数
snort 规则 byte_test 不同运算符命条件
weixin_38167847的博客
08-07 372
一般情况下我们遇到的snort规则byte_test: 1,>,1000,10 意思是 相对于上次content匹配结束的位置,向后偏移10个,再取一个数转化为10进制数大于1000,则匹配成功 而有时候我们大概会遇到这样的: byte_test:1,!&,0xF8,2; content:"|29|iuqerfsodp9ifjaposdfjhgosurijf...
snort--byte_test,byte_jump用法
energysober的博客
03-31 3136
byte_test byte_jump 用法详解 byte_test: 测试一个字节的域为特定的值。能够测试二进制值或者把字节字符串转换成二进制后再测试。 格式:byte_test:,,,[[relative],[big],[little],[string],[hex],[dec],[oct]] bytes_to_convert 从数据包取得的字节数。 operator 对检测执行的...
snort规则byte_test规则选项详解
最新发布
黄粱一梦
02-26 289
byte_testsnort规则对payload进行检测时,很重要的逻辑运算规则选项。该规则选项主要功能是获取指定位置的数据进行数据运算并检测。
Snort_2_9_16_Installer.x86和x64.zip
06-30
Snort_2_9_16_Installer.x86和x64.zip,Windows下Snort2.9.16 x86和x64版本
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
snort规则库 好东西
12-22
snort规则库,下载后直接解压到snort文件夹下,覆盖就行了
snort-sort.zip_Snort 安全检测
09-24
Snort 的工作原理是捕获网络的数据包,然后基于预定义的规则库对这些数据包进行深度解析。这些规则可以涵盖各种恶意活动,如端口扫描、拒绝服务攻击、木马植入等。当Snort检测到与规则匹配的数据包时,它会生成...
snort-手册
11-29
Snort really isn't very hard to use, but there are a lot of command line options to play with, and it's not always obvious which ones go together well. This file aims to make using Snort easier for new users.
snort最新规则(很难下到的)
06-14
snort入侵检测,snort最新规则,很难下到的跟大家共享一下哈
30 snort 规则
Ghost
06-21 2120
项关键字。 msg - 在报警和包日志打印一个消息。 logto - 把包记录到用户指定的文件而不是记录到标准输出。 ttl - 检查ip头的ttl的值。 tos 检查IP头TOS字段的值。 id - 检查ip头的分片id值。 ipoption 查看IP选项字段的特定编码。 fragbits 检查IP头的分段位。 dsize - 检查包的净荷尺寸的值 。 flags -
IDS入侵检测系统与开源IDS-snort的安装与编写规则
weixin_64655821的博客
10-01 3787
IDS入侵检测系统与开源IDS-snort的安装与编写规则
snort规则编写简述
热门推荐
狂客队长
03-22 2万+
编写snort 规则 snort使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在开发snort规则时要记住几个简单的原则。     第一, 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的
snort2.9规则-学习笔记
weixin_44813582的博客
05-07 7026
目录 规则动作 协议部分 Ip地址 端口号 方向操作符 规则选项 general rule options payload detection rule options non-payload detection rule options post-detection rule options 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则...
(转载)Snort 2.x数据区搜索规则选项的改进
Kendiv's Box
09-28 3138
Snort 2.x数据区搜索规则选项的改进创建时间:2005-09-27文章属性:原创文章提交:stardust (stardust_at_xfocus.org)Snort 2.x的规则选项与2.0以前的版本相比有了相当大的改进,有必要介绍和分析一下。首先翻译一下Snort使用手册相关的规则选项说明。由于这个手册写的极烂,很多地方意思表述重复冗长,用词不准确,而且还有些明显的错误,应该仔细说明的
Snort 命令参数详解
可木的专栏
10-24 1万+
用法:        snort -[options] 选项: -A      设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。 -b    用二进制文件保存网络数据包,以应付高吞吐量的网络。 -B    将IP地址信息抹掉,去隐私化。 -c    使用配置文件,这会使得snort进入IDS模式,并从读取运行的配置信息。 -d
snort,http_header字段如何使用,举个例子说明。
05-23
Snort的http_header字段用于匹配HTTP协议的请求和响应头部信息,可以用于检测HTTP协议的攻击和异常行为。 例如,以下是一个规则,用于检测HTTP协议User-Agent字段是否包含“curl”关键字: ``` alert tcp ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值