Junos 自定义攻击签名模式语法

Junos 自定义攻击签名模式语法

我在 Junos 中配置自定义攻击特征时遇到了问题。根据Junos 自定义攻击定义文档页面,我可以根据数据包中的签名设置自定义攻击。在文档中,您可以指定要匹配的“模式”,但它没有描述模式语法应该是什么。特别是,我想匹配

8C 00 13 00

在 TCP 数据有效负载的前四个字节中。有人知道如何正确完成此操作吗?

答案1

您可以使用以下命令查看默认攻击对象上的其他模式

show log /var/db/idpd/sec-download/SignatureUpdate.xml

以下是一些十亿进制示例:

<Pattern><![CDATA[.*\xeb 2c 5b 89 d9 80 c1 06 39 d9 7c 07 80 01\x.*]]></Pattern>
<Pattern><![CDATA[.*\xffff ff2f 4249 4e2f 5348 00\x.*]]></Pattern>
<Pattern><![CDATA[.*\x7FFF FB78 7FFF FB78 7FFF FB78 7FFF FB78\x.*\x408A FFC8 4082 FFD8 3B36 FE03 3B76 FE02\x.*]]></Pattern>
<Pattern><![CDATA[.*\xeb23 5e33 c088 46fa 8946 f589 36\x.*]]></Pattern>

所以你的模式应该是:

<Pattern><![CDATA[.*\x8C 00 13 00\x.*]]></Pattern>

相关内容