Quic 关键词 ============= Suricata 通过解析 Quic 版本实现了对 Quic 的初步支持。 对于早期版本的 Quic,Suricata 还会生成 CYU 哈希值。 需要在 Suricata 配置文件中启用 Quic 应用层解析(将 'app-layer.protocols.quic.enabled' 设置为 'yes')。 quic.cyu.hash --------------- 匹配 CYU 哈希值 示例:: alert quic any any -> any any (msg:"QUIC CYU HASH"; \ quic.cyu.hash; content:"7b3ceb1adc974ad360cfa634e8d0a730"; \ sid:1;) ``quic.cyu.hash`` 支持多缓冲区匹配,详见 :doc:`multi-buffer-matching`。 quic.cyu.string --------------- 匹配 CYU 字符串 示例:: alert quic any any -> any any (msg:"QUIC CYU STRING"; \ quic.cyu.string; content:"46,PAD-SNI-VER-CCS-UAID-TCID-PDMD-SMHL-ICSL-NONP-MIDS-SCLS-CSCT-COPT-IRTT-CFCW-SFCW"; \ sid:2;) ``quic.cyu.string`` 支持多缓冲区匹配,详见 :doc:`multi-buffer-matching`。 quic.version ------------ 用于匹配长头部中 Quic 头版本的粘性缓冲区。 示例:: alert quic any any -> any any (msg:"QUIC VERSION"; \ quic.version; content:"Q046"; \ sid:3;) 附加信息 ---------------------- 关于 CYU 哈希的更多信息可在此处查阅: ``_ 关于该协议的更多信息可在此处查阅: ``_