10.35. IKE 关键词

以下关键词

  • ike.init_spi

  • ike.resp_spi

  • ike.chosen_sa_attribute

  • ike.exchtype

  • ike.vendor

  • ike.key_exchange_payload

  • ike.key_exchange_payload_length

  • ike.nonce_payload

  • ike.nonce_payload_length

可用于匹配 IKE 连接的各种属性。

10.35.1. ike.init_spi, ike.resp_spi

匹配发起方或响应方的安全参数索引 (SPI) 的精确值。

示例:

ike.init_spi; content:"18fe9b731f9f8034";
ike.resp_spi; content:"a00b8ef0902bb8ec";

ike.init_spiike.resp_spi 是 'sticky buffer'。

ike.init_spiike.resp_spi 可用作 fast_pattern

10.35.2. ike.chosen_sa_attribute

匹配响应方选择的安全关联 (SA) 的属性值。IKEv1 支持的属性包括: alg_enc, alg_hash, alg_auth, alg_dh, alg_prf, sa_group_type, sa_life_type, sa_life_duration, sa_key_lengthsa_field_size。 IKEv2 支持 alg_encalg_authalg_prfalg_dh

如果存在多个选定的 SA,则会设置事件 MultipleServerProposal。此关键词使用第一个 SA 的属性。

示例:

ike.chosen_sa_attribute:alg_hash=2;
ike.chosen_sa_attribute:sa_key_length=128;

10.35.3. ike.exchtype

匹配交换类型的值。

ike.exchtype 使用 无符号 8 位整数

此关键词在冒号后接受数字参数,并支持额外的限定符,例如:

  • > (大于)

  • < (小于)

  • >= (大于或等于)

  • <= (小于或等于)

  • arg1-arg2 (范围)

示例:

ike.exchtype:5;
ike.exchtype:>=2;

10.35.4. ike.vendor

将供应商 ID 与收集到的供应商 ID 列表进行匹配。

示例:

ike.vendor:4a131c81070358455c5728f20e95452f;

ike.vendor 支持多缓冲区匹配,详见 多缓冲区匹配

10.35.5. ike.key_exchange_payload

匹配服务器或客户端的公钥交换载荷(例如 Diffie-Hellman)。

示例:

ike.key_exchange_payload; content:"|6d026d5616c45be05e5b898411e9|"

ike.key_exchange_payload 是 'sticky buffer'。

ike.key_exchange_payload 可用作 fast_pattern

10.35.6. ike.key_exchange_payload_length

匹配服务器或客户端的公钥交换载荷(例如 Diffie-Hellman)的长度。

ike.key_exchange_payload_length 使用 无符号 32 位整数

此关键词在冒号后接受数字参数,并支持额外的限定符,例如:

  • > (大于)

  • < (小于)

  • >= (大于或等于)

  • <= (小于或等于)

  • arg1-arg2 (范围)

示例:

ike.key_exchange_payload_length:>132

10.35.7. ike.nonce_payload

匹配服务器或客户端的随机数 (nonce)。

示例:

ike.nonce_payload; content:"|6d026d5616c45be05e5b898411e9|"

ike.nonce_payload 是 'sticky buffer'。

ike.nonce_payload 可用作 fast_pattern

10.35.8. ike.nonce_payload_length

匹配服务器或客户端的随机数 (nonce) 的长度。

ike.nonce_payload_length 使用 无符号 32 位整数

此关键词在冒号后接受数字参数,并支持额外的限定符,例如:

  • > (大于)

  • < (小于)

  • >= (大于或等于)

  • <= (小于或等于)

  • arg1-arg2 (范围)

示例:

ike.nonce_payload_length:132
ike.nonce_payload_length:>132

10.35.9. 附加信息

有关协议及其包含数据的更多信息,请参阅: https://tools.ietf.org/html/rfc2409