snort规则byte_jump规则选项详解

byte_jump规则选项的主要功能是从待检测的数据中获取指定的数值,并对数值按照要求进行加工处理,得到最终结果数值,最后跳过最终结果数值的距离,再进行后面的数据检测。

规则语法

规则格式

规则样式

byte_jump: <num of bytes>, <offset> [, relative] [, multiplier <mult_value>] [, <endian>] [, string, <num_type>] [, align] [, from_beginning] [, from_end] [, post_offset <value>][, dce][, bitmask <value>]

备注:[]标识可选字段

参数说明

|---------------------------|-----------------------------------------------------------------------------------|
| 参数 | 功能说明 |
| < num of bytes> | 使用的字节个数 |
| <offset> | 获取内容的位置(可以为负值) |
| [relative] | 若有relative修饰则offset是指从上一个content匹配位置之后开始计算,若无relative修饰,则offset是指从待检测的内容开始计算偏移字节数 |
| multiplier <mult_value> | 结果值扩大mult_value倍 |
| <endian> | big:大端字节序处理 little:小端字节序处理 |
| [string, <num_type>] | hex|dec|oct |
| [align] | 结果值按照4的整数倍对齐 |
| [from_beginning] | 从待检测数据的起始位置计算跳过的字节数 |
| [from_end] | 从待检测数据的结束位置计算跳过的字节数 |
| [post_offset <value>] | 计算的要跳过的字节数加上value作为最终要跳过的字节数 |
| [dce] | 使用dcerpc协议决定字节序 |
| [bitmask <value>] | 计算的的结果值与上当前的掩码值得到最终结果值(uint64_t) |

示例规则

alert tcp any any -> any any (msg:"byte_jump option test!"; seq:1010; byte_jump:2,20,relative,multiplier 2,string,hex,align,post_offset 10; content:"|60 80|"; within:7; sid:20240201; rev:1;)

规则释义

因规则选项seq:1010即为检测tcp数据帧的seq值是否为1010,在此就不详细赘述了,重在讲解byte_jump在规则中的作用。规则中byte_jump选项的处理流程如下:

  1. 从tcp.payload的起始位置偏移20个字节,然后获取两个字节转换为十进制数a
  2. a * multiplier(2)得到数值b;
  3. 判断数值b是否为4的倍数,若不为4的倍数,则补足为4的倍数,获得数值c
  4. 将数值c + post_offset(10)得到数值d
  5. 将数值d + offset(20) + nbytes(2)得到数值e
  6. 数值e即为十六进制字符串:0x60 0x80的起始检测位置
相关推荐
hrrrrb7 分钟前
【TCP/IP】5. IP 协议
网络协议·tcp/ip·php
hhh123987_12 分钟前
以太网基础⑤UDP 协议原理与 FPGA 实现
网络·网络协议·udp
灰海15 分钟前
封装WebSocket
前端·网络·websocket·网络协议·vue
工藤新一¹22 分钟前
Linux 开发工具
linux·运维·服务器
DemonAvenger24 分钟前
实现可靠的 UDP 协议:Go 语言版本
网络协议·架构·go
W111115_29 分钟前
网络综合实验
linux·运维·服务器·网络
cui_win30 分钟前
【网络】Linux 内核优化实战 - net.ipv4.tcp_sack
linux·网络·tcp/ip
x县豆瓣酱32 分钟前
ubuntu server远程连接
linux·运维·ubuntu
0wioiw036 分钟前
Ubuntu基础(Python虚拟环境和Vue)
linux·python·ubuntu
山川绿水37 分钟前
Ubuntu22.04更新Openssh至9.9p2无法正常连接,报错解决
服务器·web安全·网络安全