10.37. Quic 关键词¶

Suricata 通过解析 Quic 版本实现了对 Quic 的初步支持。

对于早期版本的 Quic，Suricata 还会生成 CYU 哈希值。

需要在 Suricata 配置文件中启用 Quic 应用层解析（将 'app-layer.protocols.quic.enabled' 设置为 'yes'）。

10.37.1. quic.cyu.hash¶

匹配 CYU 哈希值

示例:

alert quic any any -> any any (msg:"QUIC CYU HASH"; \
  quic.cyu.hash; content:"7b3ceb1adc974ad360cfa634e8d0a730"; \
  sid:1;)

quic.cyu.hash 支持多缓冲区匹配，详见多缓冲区匹配。

10.37.2. quic.cyu.string¶

匹配 CYU 字符串

示例:

alert quic any any -> any any (msg:"QUIC CYU STRING"; \
  quic.cyu.string; content:"46,PAD-SNI-VER-CCS-UAID-TCID-PDMD-SMHL-ICSL-NONP-MIDS-SCLS-CSCT-COPT-IRTT-CFCW-SFCW"; \
  sid:2;)

quic.cyu.string 支持多缓冲区匹配，详见多缓冲区匹配。

10.37.3. quic.version¶

用于匹配长头部中 Quic 头版本的粘性缓冲区。

示例:

alert quic any any -> any any (msg:"QUIC VERSION"; \
  quic.version; content:"Q046"; \
  sid:3;)

10.37.4. 附加信息¶

关于 CYU 哈希的更多信息可在此处查阅： https://engineering.salesforce.com/gquic-protocol-analysis-and-fingerprinting-in-zeek-a4178855d75f

关于该协议的更多信息可在此处查阅： https://datatracker.ietf.org/doc/html/draft-ietf-quic-transport-17