这个规则使 在检测到 0: 缓冲区溢出时发出报警,并且记录后续的 $ 个从7@E042345 之外,
发往7@E042345 的 > 号端口的数据包。如果缓冲区溢出成功,那么接下来 $ 个发送到这个网络同一
个服务端口这个例子中是 > 号端口的数据包中,会有很重要的数据,这些数据对以后的分析很有用处。
>规则选项
规则选项构成了 入侵检测引擎的核心,它们非常容易使用,同时又很强大和容易扩展。在每条
规则中,选项之间使用分号进行分割。规则选项关键词和其参数之间使用冒号分割。截止到写本文
为止O 版, 有 > 个规则选项关键词:
&:在报警和日志中打印的消息•
:把日志记录到一个用户指定的文件,而不是输出到标准的输出文件•
:测试 包头的 55D 域的值•
:测试 包头的 5E9 域的值•
':测试 分组标志符8&I域是否是一个特定的值•
:查看 选项(域•
8.:测试 包头的分片位8&./
'P:测试数据包包数据段的大小•
8:测试 5* 标志8是否是某个值•
C:测试 5* 包的序列号是否是某个值•
(:测试 5* 包的确认()'&域是否为某个值•
:测试 *0 数据包的类型域•
':测试 *0 数据包的编码'域•
&2':测试 *0 回送包的标志符*04*@EI是否为某个值•
:在数据包的数据段中搜索模式/
:在数据包的数据段中搜索模式清单•
88:设置开始搜索的偏移量•
'H:设置搜索最大深度•
:大小写不敏感匹配内容字符串•
:剥离一个对话的应用层信息•
:观察 ?* 服务对特定应用程序的调用•
:激活反应措施断开连接等/
:激活反应措施阻塞 Q4L 站点/
>&
& 规则选项告诉日志引擎在复制包时同时打印的信息,以及让报警引擎输出的警告消息。它只是一个
简单的文本字符串,使用作为转义符。
格式:
&!""%
>