10. Suricata规则

• 10.1. 规则格式
  • 10.1.1. 动作
  • 10.1.2. 协议
  • 10.1.3. 源和目标
  • 10.1.4. 端口（源和目标）
  • 10.1.5. 方向
    • 10.1.5.1. 事务性规则
  • 10.1.6. 规则选项
    • 10.1.6.1. 禁用警报
    • 10.1.6.2. 修饰关键字
    • 10.1.6.3. 规范化缓冲区
• 10.2. 元关键词
  • 10.2.1. msg (消息)
  • 10.2.2. sid (签名ID)
  • 10.2.3. rev (版本)
  • 10.2.4. gid (组ID)
  • 10.2.5. classtype
  • 10.2.6. reference
  • 10.2.7. priority
  • 10.2.8. metadata
  • 10.2.9. target
  • 10.2.10. requires
• 10.3. IP 关键字
  • 10.3.1. ttl
  • 10.3.2. ipopts
  • 10.3.3. sameip
  • 10.3.4. ip_proto
  • 10.3.5. ipv4.hdr
  • 10.3.6. ipv6.hdr
  • 10.3.7. id
  • 10.3.8. geoip
  • 10.3.9. fragbits (IP分片)
  • 10.3.10. fragoffset
  • 10.3.11. tos
• 10.4. TCP 关键字
  • 10.4.1. tcp.flags
  • 10.4.2. seq
  • 10.4.3. ack
  • 10.4.4. window
  • 10.4.5. tcp.mss
  • 10.4.6. tcp.wscale
  • 10.4.7. tcp.hdr
• 10.5. UDP 关键字
  • 10.5.1. udp.hdr
• 10.6. ICMP 关键字
• 10.7. 有效载荷关键词
  • 10.7.1. content
  • 10.7.2. nocase
  • 10.7.3. depth
  • 10.7.4. startswith
  • 10.7.5. endswith
  • 10.7.6. offset
  • 10.7.7. distance
  • 10.7.8. within
  • 10.7.9. rawbytes
  • 10.7.10. isdataat
  • 10.7.11. absent
  • 10.7.12. bsize
  • 10.7.13. dsize
  • 10.7.14. byte_test
  • 10.7.15. byte_math
• 10.8. 整型关键字
  • 10.8.1. 比较模式
  • 10.8.2. 枚举类型
  • 10.8.3. 位掩码
• 10.9. 转换操作
  • 10.9.1. dotprefix
  • 10.9.2. domain
  • 10.9.3. tld
  • 10.9.4. strip_whitespace
  • 10.9.5. compress_whitespace
  • 10.9.6. to_lowercase
  • 10.9.7. to_md5
  • 10.9.8. to_uppercase
  • 10.9.9. to_sha1
  • 10.9.10. to_sha256
  • 10.9.11. pcrexform
  • 10.9.12. url_decode
  • 10.9.13. xor
  • 10.9.14. header_lowercase
  • 10.9.15. strip_pseudo_headers
  • 10.9.16. from_base64
  • 10.9.17. luaxform
• 10.10. fast_pattern
  • 10.10.1. Suricata 快速模式匹配机制详解
    • 10.10.1.1. 附录
      • 10.10.1.1.1. 附录A - 模式强度算法
  • 10.10.2. fast_pattern:only
  • 10.10.3. fast_pattern:'chop'
• 10.11. prefilter
• 10.12. 流关键字
  • 10.12.1. flowbits
  • 10.12.2. flow
  • 10.12.3. flowint
  • 10.12.4. stream_size
  • 10.12.5. flow.age
  • 10.12.6. flow.pkts
  • 10.12.7. flow.bytes
• 10.13. 绕过关键字
  • 10.13.1. bypass
• 10.14. HTTP 关键词
  • 10.14.1. HTTP 基础
  • 10.14.2. 规范化
    • 10.14.2.1. 重复的头部名称
  • 10.14.3. file.name
  • 10.14.4. http.accept
  • 10.14.5. http.accept_enc
  • 10.14.6. http.accept_lang
  • 10.14.7. http.host
  • 10.14.8. http.host.raw
  • 10.14.9. http.method
  • 10.14.10. http.referer
  • 10.14.11. http.request_body
  • 10.14.12. http.request_header
  • 10.14.13. http.request_line
  • 10.14.14. http.uri
• 10.15. 文件关键词
  • 10.15.1. file.data
  • 10.15.2. file.name
  • 10.15.3. fileext
  • 10.15.4. file.magic
  • 10.15.5. filestore
  • 10.15.6. filemd5
  • 10.15.7. filesha1
  • 10.15.8. filesha256
  • 10.15.9. filesize
• 10.16. DNS 关键词
  • 10.16.1. dns.opcode
    • 10.16.1.1. 语法
    • 10.16.1.2. 示例
  • 10.16.2. dns.rcode
    • 10.16.2.1. 语法
    • 10.16.2.2. 示例
  • 10.16.3. dns.rrtype
    • 10.16.3.1. 语法
    • 10.16.3.2. 示例
  • 10.16.4. dns.query
    • 10.16.4.1. 标准化缓冲区
  • 10.16.5. dns.queries.rrname
  • 10.16.6. dns.answers.rrname
  • 10.16.7. dns.authorities.rrname
  • 10.16.8. dns.additionals.rrname
  • 10.16.9. dns.response.rrname
• 10.17. mDNS 关键词
  • 10.17.1. mdns.queries.rrname
  • 10.17.2. mdns.answers.rrname
  • 10.17.3. mdns.authorities.rrname
  • 10.17.4. mdns.additionals.rrname
  • 10.17.5. mdns.response.rrname
• 10.18. SSL/TLS 关键词
  • 10.18.1. tls.cert_subject
    • 10.18.1.1. tls.subject
  • 10.18.2. tls.cert_issuer
    • 10.18.2.1. tls.issuerdn
  • 10.18.3. tls.cert_serial
  • 10.18.4. tls.cert_fingerprint
  • 10.18.5. tls.sni
  • 10.18.6. tls.subjectaltname
  • 10.18.7. tls_cert_notbefore
  • 10.18.8. tls_cert_notafter
  • 10.18.9. tls_cert_expired
  • 10.18.10. tls_cert_valid
  • 10.18.11. tls.certs
  • 10.18.12. tls.version
  • 10.18.13. ssl_version
  • 10.18.14. tls.fingerprint
  • 10.18.15. tls.store
  • 10.18.16. ssl_state
  • 10.18.17. tls.random
  • 10.18.18. tls.random_time
  • 10.18.19. tls.random_bytes
  • 10.18.20. tls.cert_chain_len
  • 10.18.21. tls.alpn
• 10.19. SSH关键词
  • 10.19.1. 钩子函数
  • 10.19.2. 帧结构
  • 10.19.3. ssh.proto
  • 10.19.4. ssh.software
  • 10.19.5. ssh.hassh
  • 10.19.6. ssh.hassh.string
  • 10.19.7. ssh.hassh.server
  • 10.19.8. ssh.hassh.server.string
• 10.20. JA3/JA4 关键词
  • 10.20.1. ja3.hash
  • 10.20.2. ja3.string
  • 10.20.3. ja3s.hash
  • 10.20.4. ja3s.string
  • 10.20.5. ja4.hash
• 10.21. Modbus 关键词
• 10.22. DCERPC 关键词
  • 10.22.1. dcerpc.iface
  • 10.22.2. dcerpc.opnum
  • 10.22.3. dcerpc.stub_data
  • 10.22.4. 附加信息
• 10.23. DHCP 关键字
  • 10.23.1. dhcp.leasetime
  • 10.23.2. dhcp.rebinding_time
  • 10.23.3. dhcp.renewal_time
• 10.24. DNP3 关键词
  • 10.24.1. dnp3_func
    • 10.24.1.1. 语法
  • 10.24.2. dnp3_ind
    • 10.24.2.1. 语法
    • 10.24.2.2. 示例
  • 10.24.3. dnp3_obj
    • 10.24.3.1. 语法
  • 10.24.4. dnp3_data
    • 10.24.4.1. 语法
    • 10.24.4.2. 示例
• 10.25. ENIP/CIP 关键词
  • 10.25.1. enip_command
  • 10.25.2. cip_service
  • 10.25.3. enip.status
  • 10.25.4. enip.protocol_version
  • 10.25.5. enip.cip_attribute
  • 10.25.6. enip.cip_instance
  • 10.25.7. enip.cip_class
  • 10.25.8. enip.cip_extendedstatus
  • 10.25.9. enip.revision
  • 10.25.10. enip.identity_status
  • 10.25.11. enip.state
  • 10.25.12. enip.serial
  • 10.25.13. enip.product_code
  • 10.25.14. enip.device_type
  • 10.25.15. enip.vendor_id
  • 10.25.16. enip.product_name
  • 10.25.17. enip.service_name
  • 10.25.18. enip.capabilities
  • 10.25.19. enip.cip_status
• 10.26. FTP/FTP-DATA 关键词
  • 10.26.1. ftpdata_command
  • 10.26.2. ftpbounce
  • 10.26.3. file.name
  • 10.26.4. ftp.command
  • 10.26.5. ftp.command_data
  • 10.26.6. ftp.completion_code
  • 10.26.7. ftp.dynamic_port
  • 10.26.8. ftp.mode
  • 10.26.9. ftp.reply
  • 10.26.10. ftp.reply_received
• 10.27. Kerberos 关键词
  • 10.27.1. krb5_msg_type
  • 10.27.2. krb5_cname
  • 10.27.3. krb5_sname
  • 10.27.4. krb5_err_code
  • 10.27.5. krb5.weak_encryption (事件)
  • 10.27.6. krb5.malformed_data (事件)
  • 10.27.7. krb5.ticket_encryption
• 10.28. SMB关键词
  • 10.28.1. smb.named_pipe
  • 10.28.2. smb.share
  • 10.28.3. smb.ntlmssp_user
  • 10.28.4. smb.ntlmssp_domain
  • 10.28.5. smb.version
    • 10.28.5.1. 从SMBv1过渡到SMBv2的匹配
    • 10.28.5.2. smb.version 能否匹配SMBv3流量？
  • 10.28.6. file.name
• 10.29. SNMP 关键词
  • 10.29.1. snmp.version
  • 10.29.2. snmp.community
  • 10.29.3. snmp.usm
  • 10.29.4. snmp.pdu_type
• 10.30. Base64 关键词
  • 10.30.1. base64_decode
  • 10.30.2. base64_data
  • 10.30.3. 示例
• 10.31. SIP 关键词
  • 10.31.1. sip.method
    • 10.31.1.1. 语法
    • 10.31.1.2. 示例
  • 10.31.2. sip.uri
    • 10.31.2.1. 语法
    • 10.31.2.2. 示例
  • 10.31.3. sip.request_line
    • 10.31.3.1. 语法
    • 10.31.3.2. 示例
  • 10.31.4. sip.stat_code
    • 10.31.4.1. 语法
    • 10.31.4.2. 示例
  • 10.31.5. sip.stat_msg
    • 10.31.5.1. 语法
    • 10.31.5.2. 示例
  • 10.31.6. sip.response_line
    • 10.31.6.1. 语法
    • 10.31.6.2. 示例
  • 10.31.7. sip.protocol
    • 10.31.7.1. 语法
    • 10.31.7.2. 示例
  • 10.31.8. sip.from
    • 10.31.8.1. 语法
    • 10.31.8.2. 示例
  • 10.31.9. sip.to
    • 10.31.9.1. 语法
    • 10.31.9.2. 示例
  • 10.31.10. sip.via
    • 10.31.10.1. 语法
    • 10.31.10.2. 示例
  • 10.31.11. sip.user_agent
    • 10.31.11.1. 语法
    • 10.31.11.2. 示例
  • 10.31.12. sip.content_type
    • 10.31.12.1. 语法
    • 10.31.12.2. 示例
  • 10.31.13. sip.content_length
    • 10.31.13.1. 语法
    • 10.31.13.2. 示例
• 10.32. SDP关键词
  • 10.32.1. sdp.origin
    • 10.32.1.1. 语法
    • 10.32.1.2. 示例
  • 10.32.2. sdp.session_name
    • 10.32.2.1. 语法
    • 10.32.2.2. 示例
  • 10.32.3. sdp.session_info
    • 10.32.3.1. 语法
    • 10.32.3.2. 示例
  • 10.32.4. sdp.uri
    • 10.32.4.1. 语法
    • 10.32.4.2. 示例
  • 10.32.5. sdp.email
    • 10.32.5.1. 语法
    • 10.32.5.2. 示例
  • 10.32.6. sdp.phone_number
    • 10.32.6.1. 语法
    • 10.32.6.2. 示例
  • 10.32.7. sdp.connection_data
    • 10.32.7.1. 语法
    • 10.32.7.2. 示例
  • 10.32.8. sdp.bandwidth
    • 10.32.8.1. 语法
    • 10.32.8.2. 示例
  • 10.32.9. sdp.time
    • 10.32.9.1. 语法
    • 10.32.9.2. 示例
  • 10.32.10. sdp.repeat_time
    • 10.32.10.1. 语法
    • 10.32.10.2. 示例
  • 10.32.11. sdp.timezone
    • 10.32.11.1. 语法
    • 10.32.11.2. 示例
  • 10.32.12. sdp.encryption_key
    • 10.32.12.1. 语法
    • 10.32.12.2. 示例
  • 10.32.13. sdp.attribute
    • 10.32.13.1. 语法
    • 10.32.13.2. 示例
  • 10.32.14. sdp.media.media
    • 10.32.14.1. 语法
    • 10.32.14.2. 示例
  • 10.32.15. sdp.media.session_info
    • 10.32.15.1. 语法
    • 10.32.15.2. 示例
  • 10.32.16. sdp.media.connection_data
    • 10.32.16.1. 语法
    • 10.32.16.2. 示例
  • 10.32.17. sdp.media.encryption_key
    • 10.32.17.1. 语法
    • 10.32.17.2. 示例
• 10.33. RFB 关键词
  • 10.33.1. rfb.name
  • 10.33.2. rfb.secresult
  • 10.33.3. rfb.sectype
  • 10.33.4. 补充信息
• 10.34. MQTT 关键词
  • 10.34.1. mqtt.protocol_version
  • 10.34.2. mqtt.type
  • 10.34.3. mqtt.flags
  • 10.34.4. mqtt.qos
  • 10.34.5. mqtt.reason_code
  • 10.34.6. mqtt.connack.session_present
  • 10.34.7. mqtt.connect.clientid
  • 10.34.8. mqtt.connect.flags
  • 10.34.9. mqtt.connect.password
  • 10.34.10. mqtt.connect.protocol_string
  • 10.34.11. mqtt.connect.username
  • 10.34.12. mqtt.connect.willmessage
  • 10.34.13. mqtt.connect.willtopic
  • 10.34.14. mqtt.publish.message
  • 10.34.15. mqtt.publish.topic
  • 10.34.16. mqtt.subscribe.topic
  • 10.34.17. mqtt.unsubscribe.topic
  • 10.34.18. 补充信息
• 10.35. IKE 关键词
  • 10.35.1. ike.init_spi, ike.resp_spi
  • 10.35.2. ike.chosen_sa_attribute
  • 10.35.3. ike.exchtype
  • 10.35.4. ike.vendor
  • 10.35.5. ike.key_exchange_payload
  • 10.35.6. ike.key_exchange_payload_length
  • 10.35.7. ike.nonce_payload
  • 10.35.8. ike.nonce_payload_length
  • 10.35.9. 附加信息
• 10.36. HTTP2 关键词
  • 10.36.1. 帧类型
  • 10.36.2. http2.frametype
  • 10.36.3. http2.errorcode
  • 10.36.4. http2.priority
  • 10.36.5. http2.window
  • 10.36.6. http2.size_update
  • 10.36.7. http2.settings
  • 10.36.8. http2.header_name
  • 10.36.9. 补充信息
• 10.37. Quic 关键词
  • 10.37.1. quic.cyu.hash
  • 10.37.2. quic.cyu.string
  • 10.37.3. quic.version
  • 10.37.4. 附加信息
• 10.38. NFS 关键词
  • 10.38.1. file.name
• 10.39. SMTP 关键词
  • 10.39.1. file.name
  • 10.39.2. smtp.helo
  • 10.39.3. smtp.mail_from
  • 10.39.4. smtp.rcpt_to
  • 10.39.5. 帧结构
    • 10.39.5.1. smtp.command_line
    • 10.39.5.2. smtp.response_line
    • 10.39.5.3. smtp.data
    • 10.39.5.4. smtp.stream
• 10.40. WebSocket 关键词
  • 10.40.1. websocket.payload
  • 10.40.2. websocket.flags
  • 10.40.3. websocket.mask
  • 10.40.4. websocket.opcode
• 10.41. 通用应用层关键词
  • 10.41.1. app-layer-protocol
    • 10.41.1.1. 放弃检测条件
  • 10.41.2. app-layer-event
    • 10.41.2.1. 协议检测事件
      • 10.41.2.1.1. applayer_mismatch_protocol_both_directions
      • 10.41.2.1.2. applayer_wrong_direction_first_data
      • 10.41.2.1.3. applayer_detect_protocol_only_one_direction
      • 10.41.2.1.4. applayer_proto_detection_skipped
  • 10.41.3. app-layer-state
• 10.42. 通用解码层关键词
  • 10.42.1. 解码事件
    • 10.42.1.1. 解码事件列表
      • 10.42.1.1.1. ethernet.unknown_ethertype
• 10.43. Xbits 关键字
  • 10.43.1. 注意事项
    • 10.43.1.1. YAML配置
    • 10.43.1.2. 线程机制
    • 10.43.1.3. Unix套接字
    • 10.43.1.4. 示例
      • 10.43.1.4.1. 创建SSH黑名单
• 10.44. 警报关键词
  • 10.44.1. noalert
  • 10.44.2. alert
• 10.45. 阈值设置关键词
  • 10.45.1. threshold
    • 10.45.1.1. type "threshold"
    • 10.45.1.2. type "limit"
    • 10.45.1.3. type "both"
    • 10.45.1.4. type "backoff"
    • 10.45.1.5. track
  • 10.45.2. detection_filter
• 10.46. IP信誉度关键字
  • 10.46.1. iprep
    • 10.46.1.1. isset 和 isnotset
    • 10.46.1.2. 与纯IP规则的兼容性
• 10.47. IP地址匹配
  • 10.47.1. ip.src
  • 10.47.2. ip.dst
• 10.48. 配置规则
  • 10.48.1. 关键字
  • 10.48.2. 动作
• 10.49. 数据集
  • 10.49.1. 全局配置（可选）
  • 10.49.2. 规则关键字
    • 10.49.2.1. dataset
    • 10.49.2.2. datarep
    • 10.49.2.3. dataset with JSON
  • 10.49.3. 规则重载
  • 10.49.4. Unix Socket
    • 10.49.4.1. dataset-add
    • 10.49.4.2. dataset-remove
    • 10.49.4.3. dataset-clear
    • 10.49.4.4. dataset-lookup
    • 10.49.4.5. dataset-dump
    • 10.49.4.6. dataset-add-json
  • 10.49.5. 文件格式
    • 10.49.5.1. 数据类型
    • 10.49.5.2. dataset
    • 10.49.5.3. datarep
    • 10.49.5.4. dataset with JSON enrichment
  • 10.49.6. 文件位置
  • 10.49.7. 安全性
• 10.50. Lua检测脚本
  • 10.50.1. Lua规则关键字
    • 10.50.1.1. 初始化函数
    • 10.50.1.2. 匹配函数
  • 10.50.2. Lua转换器：luaxform
  • 10.50.3. Lua沙箱与可用函数
• 10.51. 自动协议检测
• 10.52. urilen 关键字
• 10.53. http_uri 缓冲区
• 10.54. http_header 缓冲区
• 10.55. http_cookie 缓冲区
• 10.56. 新增HTTP关键字
• 10.57. byte_extract 关键字
• 10.58. byte_jump 关键字
• 10.59. byte_math 关键字
• 10.60. byte_test 关键字
• 10.61. isdataat 关键字
• 10.62. 相对PCRE
• 10.63. tls* 关键字
• 10.64. dns_query 关键字
• 10.65. IP信誉与 iprep 关键字
• 10.66. Flowbits
• 10.67. flowbits:noalert;
• 10.68. 否定内容匹配特例
• 10.69. 文件提取
• 10.70. Lua脚本
• 10.71. 快速模式
• 10.72. 流检测限制
• 10.73. 警报生成
• 10.74. 缓冲区参考表
• 10.75. 多缓冲区匹配
• 10.76. 语法
• 10.77. 示例
• 10.78. 标记应用场景
  • 10.78.1. 条件式PCAP记录
• 10.79. 主机/流追踪机制
• 10.80. VLAN 关键词
  • 10.80.1. vlan.id
    • 10.80.1.1. 示例
  • 10.80.2. vlan.layers
    • 10.80.2.1. 示例
• 10.81. LDAP 关键词
  • 10.81.1. LDAP 请求与响应操作
  • 10.81.2. ldap.request.operation
    • 10.81.2.1. 示例
  • 10.81.3. ldap.responses.operation
    • 10.81.3.1. 示例
  • 10.81.4. ldap.responses.count
    • 10.81.4.1. 示例
  • 10.81.5. ldap.request.dn
    • 10.81.5.1. 示例
  • 10.81.6. ldap.responses.dn
    • 10.81.6.1. 示例
  • 10.81.7. ldap.responses.result_code
    • 10.81.7.1. 示例
  • 10.81.8. ldap.responses.message
    • 10.81.8.1. 示例
  • 10.81.9. ldap.request.attribute_type
• 10.82. PGSQL 关键词
  • 10.82.1. pgsql.query
    • 10.82.1.1. 示例
• 10.83. 规则类型与分类
  • 10.83.1. 签名属性
    • 10.83.1.1. 签名：需要真实数据包
  • 10.83.2. 签名类型与变量类关键词
    • 10.83.2.1. Flowbits: isset
  • 10.83.3. 各类型签名
    • 10.83.3.1. 仅解码事件
      • 10.83.3.1.1. 示例
      • 10.83.3.1.2. 引擎分析报告
    • 10.83.3.2. 数据包
      • 10.83.3.2.1. 示例
      • 10.83.3.2.2. 引擎分析报告
    • 10.83.3.3. 仅IP
      • 10.83.3.3.1. 示例
      • 10.83.3.3.2. 引擎分析报告
• 10.84. 电子邮件关键词
  • 10.84.1. email.from
    • 10.84.1.1. 示例
  • 10.84.2. email.subject
    • 10.84.2.1. 示例
  • 10.84.3. email.to
    • 10.84.3.1. 示例
  • 10.84.4. email.cc
    • 10.84.4.1. 示例
  • 10.84.5. email.date
    • 10.84.5.1. 示例
  • 10.84.6. email.message_id
    • 10.84.6.1. 示例
  • 10.84.7. email.x_mailer
    • 10.84.7.1. 示例
  • 10.84.8. email.url
    • 10.84.8.1. 示例
  • 10.84.9. email.received
    • 10.84.9.1. 示例