20.3. Lua 库

Suricata 通过 require 关键字为 Lua 脚本提供了扩展功能库。这些扩展在 Lua 规则中尤为重要，因为 Lua 规则是在受限的沙盒环境中执行的，无法访问额外的模块。

• 20.3.1. Base64
  • 20.3.1.1. 函数
    • 20.3.1.1.1. encode(string)
    • 20.3.1.1.2. decode(string)
    • 20.3.1.1.3. encode_nopad(string)
    • 20.3.1.1.4. decode_nopad(string)
    • 20.3.1.1.5. decode_padopt(string)
    • 20.3.1.1.6. decode_rfc2045(string)
    • 20.3.1.1.7. decode_rfc4648(string)
  • 20.3.1.2. 实现细节
• 20.3.2. 字节变量
  • 20.3.2.1. 设置
  • 20.3.2.2. 模块函数
    • bytevars.map()
    • bytevars.get()
  • 20.3.2.3. 字节变量对象方法
• 20.3.3. 配置库
  • 20.3.3.1. 函数
    • 20.3.3.1.1. log_path()
• 20.3.4. 初始化设置
  • 20.3.4.1. 事务处理
  • 20.3.4.2. 事务方法
• 20.3.5. answers()
• 20.3.6. authorities()
• 20.3.7. queries()
• 20.3.8. rcode()
• 20.3.9. rcode_string()
• 20.3.10. recursion_desired()
• 20.3.11. rrname()
• 20.3.12. txid()
• 20.3.13. 文件
  • 20.3.13.1. 初始化
  • 20.3.13.2. API
    • 20.3.13.2.1. 文件对象
    • 20.3.13.2.2. 文件方法
      • 20.3.13.2.2.1. file_id()
      • 20.3.13.2.2.2. tx_id()
      • 20.3.13.2.2.3. name()
      • 20.3.13.2.2.4. size()
      • 20.3.13.2.2.5. magic()
      • 20.3.13.2.2.6. md5()
      • 20.3.13.2.2.7. sha1()
      • 20.3.13.2.2.8. sha256()
      • 20.3.13.2.2.9. get_state()
      • 20.3.13.2.2.10. is_stored()
• 20.3.14. 流
  • 20.3.14.1. 初始化
    • 20.3.14.1.1. get
  • 20.3.14.2. 时间相关
    • 20.3.14.2.1. timestamps
    • 20.3.14.2.2. timestring_legacy
    • 20.3.14.2.3. timestring_iso8601
  • 20.3.14.3. 端口与地址
  • 20.3.14.4. tuple
  • 20.3.14.5. 应用层协议
    • 20.3.14.5.1. app_layer_proto
  • 20.3.14.6. 其他功能
    • 20.3.14.6.1. has_alerts
    • 20.3.14.6.2. id
    • 20.3.14.6.3. stats
  • 20.3.14.7. 示例
• 20.3.15. Flowint 库
  • 20.3.15.1. 初始化
  • 20.3.15.2. 流整数方法
    • 20.3.15.2.1. decr()
    • 20.3.15.2.2. incr()
    • 20.3.15.2.3. value()
    • 20.3.15.2.4. set(value)
• 20.3.16. Flowvar
  • 20.3.16.1. 初始化
  • 20.3.16.2. 流变量方法
    • 20.3.16.2.1. value()
    • 20.3.16.2.2. set(value, len)
  • 20.3.16.3. 示例
• 20.3.17. 哈希
  • 20.3.17.1. SHA-256
    • 20.3.17.1.1. sha256_digest(string)
    • 20.3.17.1.2. sha256_hex_digest(string)
    • 20.3.17.1.3. sha256()
  • 20.3.17.2. SHA-1
    • 20.3.17.2.1. sha1_digest(string)
    • 20.3.17.2.2. sha1_hex_digest(string)
    • 20.3.17.2.3. sha1()
  • 20.3.17.3. MD5
    • 20.3.17.3.1. md5_digest(string)
    • 20.3.17.3.2. md5_hex_digest(string)
    • 20.3.17.3.3. md5()
• 20.3.18. HTTP
  • 20.3.18.1. 初始化设置
    • 20.3.18.1.1. 事务处理
    • 20.3.18.1.2. 事务方法
  • 20.3.18.2. request_header()
  • 20.3.18.3. response_header()
  • 20.3.18.4. request_line
  • 20.3.18.5. response_line
  • 20.3.18.6. request_headers_raw()
  • 20.3.18.7. response_headers_raw()
  • 20.3.18.8. request_uri_raw()
  • 20.3.18.9. request_uri_normalized()
  • 20.3.18.10. request_headers()
  • 20.3.18.11. response_headers()
  • 20.3.18.12. request_body()
  • 20.3.18.13. response_body()
  • 20.3.18.14. request_host()
• 20.3.19. 设置
• 20.3.20. 函数
  • 20.3.20.1. info
  • 20.3.20.2. notice
  • 20.3.20.3. warning
  • 20.3.20.4. error
  • 20.3.20.5. debug
  • 20.3.20.6. config
  • 20.3.20.7. perf
• 20.3.21. 数据包
  • 20.3.21.1. 初始化
    • 20.3.21.1.1. get
  • 20.3.21.2. 时间
    • 20.3.21.2.1. timestamp
    • 20.3.21.2.2. timestring_legacy
    • 20.3.21.2.3. timestring_iso8601
  • 20.3.21.3. 端口和地址
    • 20.3.21.3.1. tuple
    • 20.3.21.3.2. sp
    • 20.3.21.3.3. dp
  • 20.3.21.4. 数据
    • 20.3.21.4.1. payload
    • 20.3.21.4.2. packet
  • 20.3.21.5. 杂项
    • 20.3.21.5.1. pcap_cnt
  • 20.3.21.6. 示例
• 20.3.22. 规则
  • 20.3.22.1. 规则设置
  • 20.3.22.2. 输出设置
  • 20.3.22.3. 获取规则实例
  • 20.3.22.4. 规则方法
    • 20.3.22.4.1. action()
    • 20.3.22.4.2. class_description()
    • 20.3.22.4.3. gid()
    • 20.3.22.4.4. rev()
    • 20.3.22.4.5. msg()
    • 20.3.22.4.6. priority
    • 20.3.22.4.7. sid()
• 20.3.23. SMTP
  • 20.3.23.1. 初始化设置
    • 20.3.23.1.1. 事务处理
    • 20.3.23.1.2. 事务方法
      • 20.3.23.1.2.1. get_mime_field(name)
      • 20.3.23.1.2.2. get_mime_list()
      • 20.3.23.1.2.3. get_mail_from()
      • 20.3.23.1.2.4. get_rcpt_list()
• 20.3.24. 配置
  • 20.3.24.1. 事务
  • 20.3.24.2. 事务方法
• 20.3.25. server_proto()
• 20.3.26. client_proto()
• 20.3.27. server_software()
• 20.3.28. client_software()
• 20.3.29. client_hassh()
• 20.3.30. client_hassh_string()
• 20.3.31. server_hassh()
• 20.3.32. server_hassh_string()
• 20.3.33. 初始化
• 20.3.34. API
  • 20.3.34.1. 事务处理
  • 20.3.34.2. 客户端方法
    • 20.3.34.2.1. get_client_version
    • 20.3.34.2.2. get_client_cert_chain
    • 20.3.34.2.3. get_client_cert_info
    • 20.3.34.2.4. get_client_cert_not_after
    • 20.3.34.2.5. get_client_cert_not_before
    • 20.3.34.2.6. get_client_serial
    • 20.3.34.2.7. get_client_sni
  • 20.3.34.3. 服务端方法
    • 20.3.34.3.1. get_server_cert_info
    • 20.3.34.3.2. get_server_cert_chain
    • 20.3.34.3.3. get_server_cert_not_after
    • 20.3.34.3.4. get_server_cert_not_before
    • 20.3.34.3.5. get_server_serial
• 20.3.35. 事务
• 20.3.36. 事务方法
  • 20.3.36.1. ja3_get_hash()
  • 20.3.36.2. ja3_get_string()
  • 20.3.36.3. ja3s_get_hash()
  • 20.3.36.4. ja3s_get_string()
• 20.3.37. 工具库
  • 20.3.37.1. 初始化
    • 20.3.37.1.1. 函数说明
      • thread_info()