10.40. WebSocket 关键词

10.40.1. websocket.payload

一个针对未掩码载荷的粘性缓冲区， 受限于 suricata.yaml 配置中的 websocket.max-payload-size 值。

示例:

websocket.payload; pcre:"/^123[0-9]*/";
websocket.payload content:"swordfish";

websocket.payload 是一个 '粘性缓冲区'，可用作 fast_pattern。

10.40.2. websocket.flags

匹配 WebSocket 标志位。 使用 8 位无符号整数值。 仅使用高四位。

该值也可以是一个字符串列表（逗号分隔）， 每个字符串代表特定标志位的名称，如 fin 和 comp， 并可添加 ! 前缀表示否定。

websocket.flags 使用 8 位无符号整数

示例:

websocket.flags:128;
websocket.flags:&0x40=0x40;
websocket.flags:fin,!comp;

10.40.3. websocket.mask

匹配 WebSocket 掩码（如果存在）。 使用 32 位无符号整数值（大端序）。

websocket.mask 使用 32 位无符号整数

示例:

websocket.mask:123456;
websocket.mask:>0;

10.40.4. websocket.opcode

匹配 WebSocket 操作码。 使用 8 位无符号整数值。 仅 16 个值有效。 也可通过枚举文本指定。

websocket.opcode 使用 8 位无符号整数

示例:

websocket.opcode:1;
websocket.opcode:>8;
websocket.opcode:ping;