当前位置：首页 > news >正文

suricata规则字段解析

news 2026/4/1 10:05:37

一、Payload关键字

1、content

可以匹配所有字符；从a到z，大写和小写及所有特殊标志。针对一些特殊符号或中文等，需要使用十六进制进行匹配，写法：|3A|表示冒号，以此类推。|0D| -> \r，|0A| -> \n

另外，默认情况下，content中给定的值是包含运算（模糊匹配，但是不是正则表达式），同时也可以在content后面具体指定对应的字段，比如http_stat_code，http_url等。另外还可以辅助使用startswith,endswith来进行更加精准的匹配。content: "GET";startswith;http_request_line;

其中http_request_line表示请求头，http_request_body表示请求体，http_response_line表示响应头，http_response_body表示响应体

2、nocase

不区分大小写，通常放在content后面

3、dsize

有效载荷的内容的长度，基本用法如下：

dsize:[<>!]number; || dsize:min<>max;

(1)dsize:100,表示大小等于100

(2)dsize:<100 dsize:>100 dsize:!100 dize:100<>200

4、pcre

标准的正则表达式匹配，基本语法：pcre:"/<regex>/opts"; ，需要注意两点：

（1）必须使用/进行包裹，最后的位置可以设置选项

（2）通常情况下，pcre不能直接单独存在，必须依赖于content，也就是说必须现有content，再有pcre进行更精准的匹配。

二、转码关键字

1、to_md5

2、to_sha

3、url_encode

4、base64_decode

对字段的值进行base64解码，并在解码后进行匹配（前提：知道解码后具体的内容）

Buffer content:
http_uri="GET /en/somestring&dGvzdAo=&not_base64"

Rule:
alert http any any -> any any (msg:"base64 example"; http.url; content: "somestring"; base64_decode:bytes 8, offset 1,relative; base64_data: content:"test"; sid:10001; rev:1;)

三、Flow流关键字

1、flowbits

2、flow

如：flow:established,to_server;表示目标服务器方向，连接已经建立

3、flowint

（1）基本语法

flowint: name, < +,-,=,>,<,>=,<=,==, != >, value;       =号用于赋初始值  +- 数学运算  其他 数字比较判断

flowint: name, (isset|isnotset);    用来判断某个变量是否已经初始化

（2）用法示例：

alert http any any <> $HOME_NET 80 (msg:"web服务器出现404状态码"; content: "404"; http_stat_code; flowint:urlcount , notset; flowint: urlcount, =, 1; noalert; sid:561002;)

alert http any any <> $HOME_NET 80 (msg:"web服务器出现404状态码"; content: "404"; http_stat_code; flowint:urlcount , isset; flowint: urlcount, +, 1; noalert; sid:561003;)

alert http any any <> $HOME_NET 80 (msg:"频繁出现404状态码，疑似扫描"; content: "404"; http_stat_code; flowint: urlcount, >=5, priority: 2; sid:561004; rev: 2;)

4、strream_size

四、阈值关键字

1、threshold

threshold: type <threshold|limit|both>,track <by_src|by_dst|by_rule|by_both>,count <N>,seconds <T>

默认建议使用threshold，如果设置为limit，则会限制警告的数量
track 优先使用by_src,T秒内连续出现N次，则触发警告

2、实例

alert http any any <> $HOME_NET 80 (msg:"频繁出现404状态码，疑似扫描"; content: "404"; http_stat_code; threshold:type threshold, track by_src, count 5, seconds 20; classtype: web-url-scan; sid:561004; rev: 3;)

suricata规则字段解析

一、Payload关键字 1、content 可以匹配所有字符；从a到z，大写和小写及所有特殊标志。针对一些特殊符号或中文等，需要使用十六进制进行匹配，写法：|3A|表示冒号，以此类推。|0D| -> \r，|0A| -…...

编程日记 2023/9/1 7:43:04

韶音骨传导耳机好不好，韶音骨传导耳机值得入手吗

韶音耳机的质量还是很不错的，其实力相比于百元价位的耳机而言领先了不少，具备多种功能，佩戴起来也是有着舒适性。它自主研发了骨传导音频技术，不过在今年开始，似乎已经将方向开始往运动偏移。而在韶音的骨传导耳机中&…...

编程日记 2023/9/1 7:42:02

【LeetCode】208.实现Trie（前缀树）

题目 Trie（发音类似 "try"）或者说前缀树是一种树形数据结构，用于高效地存储和检索字符串数据集中的键。这一数据结构有相当多的应用情景，例如自动补完和拼写检查。请你实现 Trie 类： Trie() 初始化前缀…...

编程日记 2023/9/1 7:41:00

多线程笔记: volatile、synchronized、Monitor等

为什么非volatile变量也有线程可见性？不加volatile也可以看到变量变化是为什么？Thread.sleep() 和 System.out.println() 与内存可见性的影响Thread.sleep() 对线程可见性的影响？Java中的Monitor监视器是什么？ Slf4j public clas…...

编程日记 2023/9/1 7:39:59

shell语法--数组相关

shell定义一个数组在 shell 中，可以使用以下语法来定义一个数组： array_name(item1 item2 item3 ...) 其中，array_name 是数组的名称，item1、item2、item3 等是数组中的元素，它们之间用空格分隔。例如，以下…...

编程日记 2023/9/1 7:38:58

AI:05 - 基于深度学习的道路交通信号灯的检测与识别

随着人工智能的快速发展，基于深度学习的视觉算法在道路交通领域中起到了重要作用。本文将探讨如何利用深度学习技术实现道路交通信号灯的检测与识别，通过多处代码实例展示技术深度。道路交通信号灯是指示交通参与者行驶和停止的重要信号。准确地检测和识别交通信号灯对于智…...

编程日记 2023/9/1 7:37:56

The Sandbox 即将参加韩国区块链周，并带来一系列独家周边活动！

韩国区块链周（Korea Blockchain Week）即将到来，届时将有成千上万的 NFT 项目、建设者、社区成员、企业家、投资者和爱好者齐聚首尔，分享 Web3 的最新更新和未来愿景。继成功举办韩流崛起 LAND 销售并宣布多个合作伙伴关系之后&a…...

编程日记 2023/9/1 7:36:54

Mysql高阶语句（一）

一、常用查询 （增、删、改、查） 对 MySQL 数据库的查询，除了基本的查询外，有时候需要对查询的结果集进行处理。例如只取 10 条数据、对查询结果进行排序或分组等等 1、按关键字排序 PS:类比于windows 任务管理器使用 SELECT 语句…...

编程日记 2023/9/1 7:35:53

win10 ping不通 Docker ip(解决截图)

背景： win10下载了docker desktop就是这个图，然后计划做一个springboot连接docker。 docker部署springboot :docker 部署springboot(成功、截图)_總鑽風的博客-CSDN博客问题：spring boot部署docker后，docker接口通了&#xff0…...

编程日记 2023/9/1 7:34:51

讲讲几道关于 TCP/UDP 通信的面试题

TCP （1）TCP 的 accept 发生在三次握手的哪个阶段？ 如下图connect和accept的关系： accept过程发生在三次握手之后，三次握手完成后，客户端和服务器就建立了tcp连接并可以进行数据交互了。这时可以调用accep…...

编程日记 2023/9/1 7:33:50

1，golang 连接 oracle 数据库 2，增删改查 /** Author: lmy* Date: 2023-08-24 15:19:22* LastEditors: lmy* LastEditTime: 2023-08-24 16:23:58* FilePath: \golangOracleDemo\main.go* Description: golang oracle 增删改查 DEMO*/package mainimpor…...

编程日记 2023/9/1 7:32:49

Unity——音频管理器（附例子）

在实际游戏开发中，音效既是一个相对独立的部分，又与其他游戏逻辑密切关联。也就是说，与音效相关的代码会插入很多细节代码中。而且在音效非常丰富的情况下，如果每一个游戏模块都单独播放音效，那么可能会带来一些问题…...

编程日记 2023/9/1 7:31:48

TCP协议基础

一： TCP协议是什么？ TCP协议是基于面向连接，可靠传输，基于字节流的传输层通信协议 1. 面向连接 TCP协议是一种面向连接的协议，意味着在双方在建立数据传输之前，需要进行一个逻辑上的连接，且是…...

编程日记 2023/9/1 7:30:46

C# NetTopologySuite+ProjNet 任意图形类型坐标转换

添加引用：NetTopologySuite、ProjNet、ProjNet.SRID Program.cs文件： using ProjNet.CoordinateSystems; using ProjNet.CoordinateSystems.Transformations; using ProjNet.SRID; using System; using System.Collections.Generic; using System.Linq;…...

编程日记 2023/9/1 7:29:45

Windows笔记本电脑开机黑屏

Windows笔记本电脑开机黑屏最近，我遇到了一件奇怪的事情。我的Windows笔记本电脑在开机时出现了一个黑屏，没有任何反应。我尝试了多种方法，包括重启和恢复出厂设置，但都无济于事。我开始感到担心，因为这只会影响到…...

编程日记 2023/9/1 7:28:43

Samb共享用户的设置和修改Linux用户的id号，修改Linux组的id号，加入组，删除组成员等

零、samba帐号的设置为samba共享添加用户，并设定仅能由授权用户进入的共享 #增加没有家目录，也无法登录系统的空用户 useradd -M userA -s /sbin/nologin #-M 选项是--no-create-home的简写形式，即不为该用户配置家目录；-s选项&…...

编程日记 2023/9/1 7:27:41

VBA：对Excel单元格进行合并操作

Sub hb()Dim nn 3For i 3 To 18If Range("b" & i) <> Range("b" & i 1) ThenRange("b" & n & ":b" & i).Mergen i 1End IfNextEnd Sub...

编程日记 2023/9/1 7:26:40

HTML5离线储存

简介离线存储指的是：在用户没有与因特网连接时，可以正常访问站点或应用，在用户与因特网连接时，更新用户机器上的缓存文件。原理：HTML5的离线存储是基于一个新建的 .appcache 文件的缓存机制(不是存储技术)&#xf…...

编程日记 2023/9/1 7:25:39

cmd: Union[List[str], str], ^ SyntaxError: invalid syntax

跑项目在调用from easyprocess import EasyProcess 遇到报错： cmd: Union[List[str], str], ^ SyntaxError: invalid syntax猜测是EasyProcess版本与python版本不对应 pip show EasyProcess查证一下： WARNING: pip is being invoked by an old…...

编程日记 2023/9/1 7:24:37