.. _ipaddr:
10.47. IP地址匹配¶
可以通过IP元组参数或iprep关键字(参见 IP信誉度关键字 )进行IP地址匹配。同时还提供了一些与数据集交互的关键字。
10.47.1. ip.src¶
ip.src 关键字是一个粘性缓冲区,用于匹配源IP地址。它基于二进制表示形式进行匹配,并与类型为 ip 和 ipv4 的数据集兼容。
示例:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"入站恶意列表"; flow:to_server; ip.src; dataset:isset,badips,type ip,load badips.list; sid:1; rev:1;)
10.47.2. ip.dst¶
ip.dst 关键字是一个粘性缓冲区,用于匹配目标IP地址。它基于二进制表示形式进行匹配,并与类型为 ip 和 ipv4 的数据集兼容。
示例:
alert tcp $HOME_NET any -> any any (msg:"出站恶意列表"; flow:to_server; ip.dst; dataset:isset,badips,type ip,load badips.list; sid:1; rev:1;)