byte_jump规则选项的主要功能是从待检测的数据中获取指定的数值,并对数值按照要求进行加工处理,得到最终结果数值,最后跳过最终结果数值的距离,再进行后面的数据检测。
规则语法
规则格式
规则样式
byte_jump: <num of bytes>, <offset> , relative , multiplier \
备注:\[\]标识可选字段
参数说明
|---------------------------|-----------------------------------------------------------------------------------|
| 参数 | 功能说明 |
| < num of bytes> | 使用的字节个数 |
| <offset> | 获取内容的位置(可以为负值) |
| relative | 若有relative修饰则offset是指从上一个content匹配位置之后开始计算,若无relative修饰,则offset是指从待检测的内容开始计算偏移字节数 |
| multiplier <mult_value> | 结果值扩大mult_value倍 |
| <endian> | big:大端字节序处理 little:小端字节序处理 |
| string, \
| align | 结果值按照4的整数倍对齐 |
| from_beginning | 从待检测数据的起始位置计算跳过的字节数 |
| from_end | 从待检测数据的结束位置计算跳过的字节数 |
| post_offset \
| dce | 使用dcerpc协议决定字节序 |
| bitmask \
示例规则
alert tcp any any -> any any (msg:"byte_jump option test!"; seq:1010; byte_jump:2,20,relative,multiplier 2,string,hex,align,post_offset 10; content:"|60 80|"; within:7; sid:20240201; rev:1;)
规则释义
因规则选项seq:1010即为检测tcp数据帧的seq值是否为1010,在此就不详细赘述了,重在讲解byte_jump在规则中的作用。规则中byte_jump选项的处理流程如下:
- 从tcp.payload的起始位置偏移20个字节,然后获取两个字节转换为十进制数a
- a * multiplier(2)得到数值b;
- 判断数值b是否为4的倍数,若不为4的倍数,则补足为4的倍数,获得数值c
- 将数值c + post_offset(10)得到数值d
- 将数值d + offset(20) + nbytes(2)得到数值e
- 数值e即为十六进制字符串:0x60 0x80的起始检测位置