4. Suricata规则

• 4.1. 规则格式
  • 4.1.1. 动作
  • 4.1.2. 协议
  • 4.1.3. 源和目的
  • 4.1.4. 端口 (源和目的)
  • 4.1.5. 方向
  • 4.1.6. 规则选项
    • 4.1.6.1. 修饰符关键字
    • 4.1.6.2. 标准化缓冲区
• 4.2. 元关键字
  • 4.2.1. msg (消息)
  • 4.2.2. sid (规则ID)
  • 4.2.3. rev (revision)
  • 4.2.4. gid (组ID)
  • 4.2.5. classtype
  • 4.2.6. 参考
  • 4.2.7. 优先级
  • 4.2.8. metadata
  • 4.2.9. target
• 4.3. IP关键字
  • 4.3.1. ttl
  • 4.3.2. ipopts
  • 4.3.3. sameip
  • 4.3.4. ip_proto
  • 4.3.5. id
  • 4.3.6. geoip
  • 4.3.7. fragbits (IP分段)
  • 4.3.8. fragoffset
• 4.4. TCP关键字
  • 4.4.1. seq
  • 4.4.2. ack
  • 4.4.3. window
• 4.5. ICMP关键字
  • 4.5.1. itype
  • 4.5.2. icode
  • 4.5.3. icmp_id
  • 4.5.4. icmp_seq
• 4.6. Payload关键字
  • 4.6.1. content
  • 4.6.2. nocase
  • 4.6.3. depth
  • 4.6.4. startswith
  • 4.6.5. offset
  • 4.6.6. distance
  • 4.6.7. within
  • 4.6.8. isdataat
  • 4.6.9. dsize
  • 4.6.10. rpc
  • 4.6.11. replace
  • 4.6.12. pcre (兼容Perl的正则表达式)
    • 4.6.12.1. Suricata的修饰符
• 4.7. 预过滤关键字
  • 4.7.1. fast_pattern
    • 4.7.1.1. Suricata快速匹配模式选择详解
      • 4.7.1.1.1. 附录
        • 4.7.1.1.1.1. 附录 A - 缓冲区, list_id值, Suricata 1.3.4中它们的注册顺序
        • 4.7.1.1.1.2. 附录 B - 缓冲区, list_id值, 优先级，Suricata 2.0.7中它们的注册顺序
        • 4.7.1.1.1.3. 附录 C - 模式强度算法
    • 4.7.1.2. fast_pattern:only
    • 4.7.1.3. fast_pattern:’chop’
  • 4.7.2. 预过滤
• 4.8. 流关键字
  • 4.8.1. flowbits
  • 4.8.2. flow
  • 4.8.3. flowint
  • 4.8.4. stream_size
• 4.9. HTTP关键字
  • 4.9.1. HTTP 入门
  • 4.9.2. http_method
  • 4.9.3. http_uri and http_raw_uri
  • 4.9.4. uricontent
  • 4.9.5. urilen
  • 4.9.6. http_protocol
  • 4.9.7. http_request_line
  • 4.9.8. http_header 和 http_raw_header
  • 4.9.9. http_cookie
  • 4.9.10. http_user_agent
    • 4.9.10.1. 注意
  • 4.9.11. http_accept
  • 4.9.12. http_accept_enc
  • 4.9.13. http_accept_lang
  • 4.9.14. http_connection
  • 4.9.15. http_content_type
  • 4.9.16. http_content_len
  • 4.9.17. http_referer
  • 4.9.18. http_start
  • 4.9.19. http_header_names
  • 4.9.20. http_client_body
  • 4.9.21. http_stat_code
  • 4.9.22. http_stat_msg
  • 4.9.23. http_response_line
  • 4.9.24. http_server_body
    • 4.9.24.1. Notes
  • 4.9.25. http_host and http_raw_host
    • 4.9.25.1. Notes
  • 4.9.26. file_data
    • 4.9.26.1. Notes
• 4.10. File Keywords
  • 4.10.1. filename
  • 4.10.2. fileext
  • 4.10.3. filemagic
  • 4.10.4. filestore
  • 4.10.5. filemd5
  • 4.10.6. filesha1
  • 4.10.7. filesha256
  • 4.10.8. filesize
• 4.11. DNS Keywords
  • 4.11.1. dns_query
    • 4.11.1.1. Normalized Buffer
• 4.12. SSL/TLS Keywords
  • 4.12.1. tls_cert_subject
  • 4.12.2. tls_cert_issuer
  • 4.12.3. tls_cert_serial
  • 4.12.4. tls_cert_fingerprint
  • 4.12.5. tls_sni
  • 4.12.6. tls_cert_notbefore
  • 4.12.7. tls_cert_notafter
  • 4.12.8. tls_cert_expired
  • 4.12.9. tls_cert_valid
  • 4.12.10. tls.version
  • 4.12.11. tls.subject
  • 4.12.12. tls.issuerdn
  • 4.12.13. tls.fingerprint
  • 4.12.14. tls.store
  • 4.12.15. ssl_state
• 4.13. JA3 Keywords
  • 4.13.1. ja3_hash
  • 4.13.2. ja3_string
• 4.14. Modbus Keyword
• 4.15. DNP3 Keywords
  • 4.15.1. dnp3_func
    • 4.15.1.1. Syntax
  • 4.15.2. dnp3_ind
    • 4.15.2.1. Syntax
    • 4.15.2.2. Examples
  • 4.15.3. dnp3_obj
    • 4.15.3.1. Syntax
  • 4.15.4. dnp3_data
    • 4.15.4.1. Syntax
    • 4.15.4.2. Example
• 4.16. ENIP/CIP Keywords
• 4.17. FTP/FTP-DATA Keywords
  • 4.17.1. ftpdata_command
  • 4.17.2. ftpbounce
• 4.18. Kerberos Keywords
  • 4.18.1. krb5_msg_type
  • 4.18.2. krb5_cname
  • 4.18.3. krb5_sname
  • 4.18.4. krb5_err_code
  • 4.18.5. krb5.weak_encryption (event)
  • 4.18.6. krb5.malformed_data (event)
• 4.19. Generic App Layer Keywords
  • 4.19.1. app-layer-protocol
    • 4.19.1.1. Bail out conditions
  • 4.19.2. app-layer-event
    • 4.19.2.1. Protocol Detection
      • 4.19.2.1.1. applayer_mismatch_protocol_both_directions
      • 4.19.2.1.2. applayer_wrong_direction_first_data
      • 4.19.2.1.3. applayer_detect_protocol_only_one_direction
      • 4.19.2.1.4. applayer_proto_detection_skipped
• 4.20. Xbits Keyword
  • 4.20.1. Notes
    • 4.20.1.1. YAML settings
    • 4.20.1.2. Threading
    • 4.20.1.3. Unix Socket
    • 4.20.1.4. Examples
      • 4.20.1.4.1. Creating a SSH blacklist
• 4.21. Thresholding Keywords
  • 4.21.1. threshold
    • 4.21.1.1. type “threshold”
    • 4.21.1.2. type “limit”
    • 4.21.1.3. type “both”
  • 4.21.2. detection_filter
• 4.22. IP Reputation Keyword
  • 4.22.1. iprep
    • 4.22.1.1. IP-only
• 4.23. Lua Scripting
  • 4.23.1. Init function
  • 4.23.2. Match function
• 4.24. Differences From Snort
  • 4.24.1. Automatic Protocol Detection
  • 4.24.2. urilen Keyword
  • 4.24.3. http_uri Buffer
  • 4.24.4. http_header Buffer
  • 4.24.5. http_cookie Buffer
  • 4.24.6. New HTTP keywords
  • 4.24.7. byte_extract Keyword
  • 4.24.8. isdataat Keyword
  • 4.24.9. Relative PCRE
  • 4.24.10. tls* Keywords
  • 4.24.11. dns_query Keyword
  • 4.24.12. IP Reputation and iprep Keyword
  • 4.24.13. Flowbits
  • 4.24.14. flowbits:noalert;
  • 4.24.15. Negated Content Match Special Case
  • 4.24.16. File Extraction
  • 4.24.17. Lua Scripting
  • 4.24.18. Fast Pattern
  • 4.24.19. Don’t Cross The Streams
  • 4.24.20. Alerts
  • 4.24.21. Buffer Reference Chart