10.23. DHCP 关键字¶
10.23.1. dhcp.leasetime¶
DHCP 租约时间(整数类型)。
dhcp.leasetime 使用 64位无符号整数。
语法:
dhcp.leasetime:[操作符]<数值>
可通过精确匹配或 _操作符_ 比较进行检测:
dhcp.leasetime:3 # 精确等于3
dhcp.leasetime:<3 # 小于3
dhcp.leasetime:>=2 # 大于或等于2
规则示例:
alert dhcp any any -> any any (msg:"过短的DHCP租约时间(<3)"; dhcp.leasetime:<3; sid:1; rev:1;)
10.23.2. dhcp.rebinding_time¶
DHCP 重绑定时间(整数类型)。
dhcp.rebinding_time 使用 64位无符号整数。
语法:
dhcp.rebinding_time:[操作符]<数值>
可通过精确匹配或 _操作符_ 比较进行检测:
dhcp.rebinding_time:3 # 精确等于3
dhcp.rebinding_time:<3 # 小于3
dhcp.rebinding_time:>=2 # 大于或等于2
规则示例:
alert dhcp any any -> any any (msg:"过短的DHCP重绑定时间(<3)"; dhcp.rebinding_time:<3; sid:1; rev:1;)
10.23.3. dhcp.renewal_time¶
DHCP 续约时间(整数类型)。
dhcp.renewal_time 使用 64位无符号整数。
语法:
dhcp.renewal_time:[操作符]<数值>
可通过精确匹配或 _操作符_ 比较进行检测:
dhcp.renewal_time:3 # 精确等于3
dhcp.renewal_time:<3 # 小于3
dhcp.renewal_time:>=2 # 大于或等于2
规则示例:
alert dhcp any any -> any any (msg:"过短的DHCP续约时间(<3)"; dhcp.renewal_time:<3; sid:1; rev:1;)