snort规则byte_jump规则选项详解

byte_jump规则选项的主要功能是从待检测的数据中获取指定的数值,并对数值按照要求进行加工处理,得到最终结果数值,最后跳过最终结果数值的距离,再进行后面的数据检测。

规则语法

规则格式

规则样式

byte_jump: <num of bytes>, <offset> [, relative] [, multiplier <mult_value>] [, <endian>] [, string, <num_type>] [, align] [, from_beginning] [, from_end] [, post_offset <value>][, dce][, bitmask <value>]

备注:[]标识可选字段

参数说明

|---------------------------|-----------------------------------------------------------------------------------|
| 参数 | 功能说明 |
| < num of bytes> | 使用的字节个数 |
| <offset> | 获取内容的位置(可以为负值) |
| [relative] | 若有relative修饰则offset是指从上一个content匹配位置之后开始计算,若无relative修饰,则offset是指从待检测的内容开始计算偏移字节数 |
| multiplier <mult_value> | 结果值扩大mult_value倍 |
| <endian> | big:大端字节序处理 little:小端字节序处理 |
| [string, <num_type>] | hex|dec|oct |
| [align] | 结果值按照4的整数倍对齐 |
| [from_beginning] | 从待检测数据的起始位置计算跳过的字节数 |
| [from_end] | 从待检测数据的结束位置计算跳过的字节数 |
| [post_offset <value>] | 计算的要跳过的字节数加上value作为最终要跳过的字节数 |
| [dce] | 使用dcerpc协议决定字节序 |
| [bitmask <value>] | 计算的的结果值与上当前的掩码值得到最终结果值(uint64_t) |

示例规则

alert tcp any any -> any any (msg:"byte_jump option test!"; seq:1010; byte_jump:2,20,relative,multiplier 2,string,hex,align,post_offset 10; content:"|60 80|"; within:7; sid:20240201; rev:1;)

规则释义

因规则选项seq:1010即为检测tcp数据帧的seq值是否为1010,在此就不详细赘述了,重在讲解byte_jump在规则中的作用。规则中byte_jump选项的处理流程如下:

  1. 从tcp.payload的起始位置偏移20个字节,然后获取两个字节转换为十进制数a
  2. a * multiplier(2)得到数值b;
  3. 判断数值b是否为4的倍数,若不为4的倍数,则补足为4的倍数,获得数值c
  4. 将数值c + post_offset(10)得到数值d
  5. 将数值d + offset(20) + nbytes(2)得到数值e
  6. 数值e即为十六进制字符串:0x60 0x80的起始检测位置
相关推荐
CodeWithMe14 分钟前
【Note】Linux Kernel 之 内核架构、源码文件、API/ABI 、FHS
linux·运维·架构
Shan120536 分钟前
编辑器Vim的快速入门
linux·编辑器·vim
hrrrrb1 小时前
【TCP/IP】7. IP 路由
网络·tcp/ip·智能路由器
HONG_YANG1 小时前
2025 ERPNext 一键部署方案
linux
有冠希没关系1 小时前
Ffmpeg录制
linux·c++
秋千码途1 小时前
小架构step系列10:日志热更新
java·linux·微服务
三体世界2 小时前
TCP传输控制层协议深入理解
linux·服务器·开发语言·网络·c++·网络协议·tcp/ip
LuDvei2 小时前
CH9121T电路及配置详解
服务器·嵌入式硬件·物联网·网络协议·tcp/ip·网络安全·信号处理
x县豆瓣酱3 小时前
ubuntu server配置静态IP
linux·运维·ubuntu
工藤新一¹3 小时前
Linux
linux·运维·服务器