suricata7 rule格式

suricata 7.0.5
suricata rule由三部分組成， action, header, options

action,決定當前規則匹配上后需要執行的動作
header,定義當前規則的協議，IP地址，端口，方向
options,定義了具體的規則

一、 action

合法的action值有：

alert, 產生告警
drop, 丟棄包并且產生告警
reject,發送rst或icmp 不可達消息給當前匹配上包的源
rejectsrc, 和reject一樣
rejectdst, 發送rst或icmp不可達消息給當前匹配上包的目的
rejectboth,給兩端同時發送rst或icmp不可達消息

二、 header

protocol + source ip + source port + direction + destination ip + destination port

2.1 Protocol

指定當前規則處理的什么協議。
基礎協議：

tcp
udp
icmp
ip
已經支持的應用層協議：
http1
http2
ftp
tls
dns
dcerpc
dhcp
ssh
smtp
imap
…

2.2 Source, Destination

../.. ,定義網段
[...,...,...],定義多個IP
! 可以對上面的進行取反，即排除
$VAR, 可以通過提前定義變量，然后使用變量表示地址
any, 表示所有地址

例子	說明
!1.1.1.1	排除1.1.1.1后剩余的所有地址
![1.1.1.1, 1.1.1.2]	排除1.1.1.1和1.1.1.2后剩余的所有地址
$HOME_NET	提取HOME_NET的值
[10.0.0.0/24, !10.0.0.5]	排除10.0.0.5后的10.0.0.0/24網段

2.3 Port

:, 表示范圍
[...,...]，多個端口
!排除端口
$VAR從變量中獲取端口

例子	說明
[80, 81, 82]	端口80，81，82
[80:82]	80到82直接的端口
[1024:]	1024到最大端口
[80:100,!99]	80到100，排除99
[1:80,![2,4]]	1到80，排除2，4

2.3 Direction

source -> destination 單向匹配
source <> destiantion 雙向匹配

三、 options

( keyword:settings;keyword; )

alert http any any -> $HOME_NET any (msg:“noalert example: set state”; flow:established,to_server; xbits:set,SC.EXAMPLE,track ip_dst, expire 10; noalert; http.method; content:“GET”; sid:1; )

參考： https://docs.suricata.io/en/latest/rules/intro.html

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/diannao/41354.shtml
繁體地址，請注明出處：http://hk.pswp.cn/diannao/41354.shtml
英文地址，請注明出處：http://en.pswp.cn/diannao/41354.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！