10.33. RFB 关键词¶
rfb.name 和 rfb.sectype 关键词可用于匹配 RFB(远程帧缓冲协议,即 VNC)握手过程中的各种属性。
10.33.1. rfb.name¶
匹配 RFB 桌面名称字段的值。
示例:
rfb.name; content:"Alice's desktop";
rfb.name; pcre:"/.* \(screen [0-9]\)$/";
rfb.name 是一个 '粘性缓冲区'。
rfb.name 可作为 fast_pattern 使用。
10.33.2. rfb.secresult¶
匹配 RFB 安全结果的值,例如 ``ok``(成功)、``fail``(失败)、``toomany``(次数过多)或 ``unknown``(未知)。
rfb.secresult 使用 32位无符号整数。
示例:
rfb.secresult: ok;
rfb.secresult: !0;
rfb.secresult: unknown;
10.33.3. rfb.sectype¶
匹配 RFB 安全类型字段的值,例如:
- 2 表示 VNC 挑战-响应认证
- 0 表示无认证
- 30 表示苹果自定义远程桌面认证
rfb.sectype 使用 32位无符号整数。
该关键词在冒号后接受数字参数,并支持以下修饰符: * ``>``(大于) * ``<``(小于) * ``>=``(大于等于) * ``<=``(小于等于)
示例:
rfb.sectype:2;
rfb.sectype:>=3;
10.33.4. 补充信息¶
协议详情可参考: https://tools.ietf.org/html/rfc6143