snort规则byte_jump规则选项详解

byte_jump规则选项的主要功能是从待检测的数据中获取指定的数值,并对数值按照要求进行加工处理,得到最终结果数值,最后跳过最终结果数值的距离,再进行后面的数据检测。

规则语法

规则格式

规则样式

byte_jump: <num of bytes>, <offset> , relative , multiplier \ , \ , string, \ , align , from_beginning , from_end , post_offset \, dce, bitmask \

备注:\[\]标识可选字段

参数说明

|---------------------------|-----------------------------------------------------------------------------------|
| 参数 | 功能说明 |
| < num of bytes> | 使用的字节个数 |
| <offset> | 获取内容的位置(可以为负值) |
| relative | 若有relative修饰则offset是指从上一个content匹配位置之后开始计算,若无relative修饰,则offset是指从待检测的内容开始计算偏移字节数 |
| multiplier <mult_value> | 结果值扩大mult_value倍 |
| <endian> | big:大端字节序处理 little:小端字节序处理 |
| string, \ | hex|dec|oct |
| align | 结果值按照4的整数倍对齐 |
| from_beginning | 从待检测数据的起始位置计算跳过的字节数 |
| from_end | 从待检测数据的结束位置计算跳过的字节数 |
| post_offset \ | 计算的要跳过的字节数加上value作为最终要跳过的字节数 |
| dce | 使用dcerpc协议决定字节序 |
| bitmask \ | 计算的的结果值与上当前的掩码值得到最终结果值(uint64_t) |

示例规则

alert tcp any any -> any any (msg:"byte_jump option test!"; seq:1010; byte_jump:2,20,relative,multiplier 2,string,hex,align,post_offset 10; content:"|60 80|"; within:7; sid:20240201; rev:1;)

规则释义

因规则选项seq:1010即为检测tcp数据帧的seq值是否为1010,在此就不详细赘述了,重在讲解byte_jump在规则中的作用。规则中byte_jump选项的处理流程如下:

  1. 从tcp.payload的起始位置偏移20个字节,然后获取两个字节转换为十进制数a
  2. a * multiplier(2)得到数值b;
  3. 判断数值b是否为4的倍数,若不为4的倍数,则补足为4的倍数,获得数值c
  4. 将数值c + post_offset(10)得到数值d
  5. 将数值d + offset(20) + nbytes(2)得到数值e
  6. 数值e即为十六进制字符串:0x60 0x80的起始检测位置
相关推荐
天空'之城7 小时前
Linux 系统编程 22:五种 IO 模型全解
linux
小张成长计划..8 小时前
【Linux】10:冯·诺依曼体系结构和操作系统
linux·运维·服务器
IpdataCloud10 小时前
跨境AI金融风险怎么防?IP风险画像的实战应用指南
数据库·tcp/ip·金融·ip
悦儿遥遥雨111 小时前
PXE + Kickstart 无人值守批量部署系统
linux·javascript·nginx
m0_5648768412 小时前
没有公网IP的情况下,怎么进行远程连接两个电脑
服务器·tcp/ip·负载均衡
Imagine Miracle12 小时前
【WSL】让WSL2后台持久运行不自动关闭的解决方案
linux·windows·wsl
兔C12 小时前
Linux 命令行入门学习资料 day_2
linux·运维·服务器
eggcode13 小时前
Linux命令基础与操作技巧
linux
二宝哥13 小时前
VMware Workstation 实战:CentOS 7.9 安装、桥接网络配置与克隆管理详解
linux·centos·vmware
AutumnWind042014 小时前
【4种打开Ubuntu(WSL)的方法】
linux·ubuntu