SNMP 关键词 ============= snmp.version ------------ SNMP协议版本号(整数)。预期值为1、2(对应版本2c)或3。 snmp.version 使用 :ref:`32位无符号整数 `。 语法:: snmp.version:[操作符]<数值> 可通过精确匹配或_操作符_比较版本:: snmp.version:3 # 精确匹配3 snmp.version:<3 # 小于3 snmp.version:>=2 # 大于等于2 规则示例:: alert snmp any any -> any any (msg:"过时的SNMP版本(<3)"; snmp.version:<3; sid:1; rev:1;) snmp.community -------------- SNMP团体字符串相当于SNMPv1和v2c消息的密码。 在版本3中,团体字符串可能被加密。若值不可访问时此关键词不会匹配。 默认只读团体字符串通常为"public",读写团体字符串为"private"。 比对区分大小写。 语法:: snmp.community; content:"private"; 规则示例:: alert snmp any any -> any any (msg:"SNMP团体字符串private"; snmp.community; content:"private"; sid:2; rev:1;) ``snmp.community`` 是'粘性缓冲区'。 ``snmp.community`` 可用作 ``fast_pattern``。 snmp.usm -------- SNMP基于用户的安全模型(USM)用于版本3。 对应用户名。 比对区分大小写。 语法:: snmp.usm; content:"admin"; 规则示例:: alert snmp any any -> any any (msg:"SNMP USM用户admin"; snmp.usm; content:"admin"; sid:2; rev:1;) ``snmp.usm`` 是'粘性缓冲区'。 ``snmp.usm`` 可用作 ``fast_pattern``。 snmp.pdu_type ------------- SNMP PDU类型(整数)。 snmp.pdu_type 使用 :ref:`32位无符号整数 `。 常见值包括: - 0: GetRequest - 1: GetNextRequest - 2: Response - 3: SetRequest - 4: TrapV1 (已废弃,SNMPv1中的旧Trap-PDU) - 5: GetBulkRequest - 6: InformRequest - 7: TrapV2 - 8: Report 若值不可访问(如加密的SNMPv3消息),此关键词不会匹配。 语法:: snmp.pdu_type:<数值> 规则示例:: alert snmp any any -> any any (msg:"SNMP响应消息"; snmp.pdu_type:2; sid:3; rev:1;)