.. _ipaddr: IP地址匹配 ========== 可以通过IP元组参数或iprep关键字(参见 :doc:`/rules/ip-reputation-rules` )进行IP地址匹配。同时还提供了一些与数据集交互的关键字。 ip.src ------ `ip.src` 关键字是一个粘性缓冲区,用于匹配源IP地址。它基于二进制表示形式进行匹配,并与类型为 `ip` 和 `ipv4` 的数据集兼容。 示例: :: alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"入站恶意列表"; flow:to_server; ip.src; dataset:isset,badips,type ip,load badips.list; sid:1; rev:1;) ip.dst ------ `ip.dst` 关键字是一个粘性缓冲区,用于匹配目标IP地址。它基于二进制表示形式进行匹配,并与类型为 `ip` 和 `ipv4` 的数据集兼容。 示例: :: alert tcp $HOME_NET any -> any any (msg:"出站恶意列表"; flow:to_server; ip.dst; dataset:isset,badips,type ip,load badips.list; sid:1; rev:1;)