Polia signatúry Snortu a ekvivalenty od IPFix
Pravidlo snortu ma dve časti hlavičku a parametre a ma nasledovny tvar:+-------------------------- hlavička -------------------------+ +---------------------- parametre ------------------------+ | | | | akcia protokol zdrojovaIP zdrojovyPort -> cielovaIP cielovyPort (nazovParametra: "hodnota"; nazovParametra: "hodnota"; ...)Podrobnosti ako písať hlavičky nájdete zatiaľ v dokumentácii snortu.
Parametre a ich ekvivalenty
Parametre prečítané z hlavičky paketu
| parameter Snortu | parameter IPFix | význam |
|---|---|---|
| fragoffset | fragmentOffset | Je to poradové číslo paketu ak sa posiela blok dát väčší ako je jeden paket, tak sa rozdelí do fragmentov a pošle po kúskoch. |
| ttl | ipTTL | Je to číselná hodnota definujúc životnosť paketu po ceste k cieľu - Time To Live. Táto hodnota je znižovaná aktívnymi zariadeniami (vštky zariadeni pracujúce na 3 a vyššej vrstve OSI modelu), a ak dosiahne 0 paket je zničený. |
| tos | ipClassOfService | Je to hhodnota poľa Type Of Service z hlavičky IP paketu. Obsahuje 8 bitov |
| id | fragmentIdentification | Je to pole Identification z hlavičky IP paketu má dĺžku 16 bitov |
| ipopts | ipv4Options | Kontroluju sa nastavené vlastnosti Options paketu |
| fragbits | fragmentFlags | Predstavuje pole Flags "vlajky", ktoré určuje či sú dáta posielané v pakete fragmentované a či je to posledný fragment. |
| dsize | ipPayloadLength | Dĺžka dátovej časti paketu |
| flags | tcpControlBits | Je to pole bitov ktoré zobrazuje TCP flags SYN,ACK... |
| flow | ??? | Identifikacia sreamu pomocou vlastnosti |
| flowbits | ??? | Je to kľúčové slovo spojené so sledovaním konverzácie od ` flow ` procesora. Dovoľuje kontrolovať stav prostredníctvom transportného protokolu. |
| seq | tcpSequenceNumber | Vlastnosť kontrolujúca TCP sequence číslo. |
| ack | tcpAcknowledgementNumber | Špecifická hodnota TCP Acknowledgement v hlavičke TCP protokolu. |
| window | tcpWindowSize | Hodnota atribútu Window v TCP hlavičke. |
| itipe | icmpTypeIPv4 | Hodnota atribútu Type v ICMP protokole. |
| icode | icmpCodeIPv4 | Kontroluje hodnota/y atribútu Code v ICMP protokole. |
| icmp_id | icmpCodeIPv4 | Kontroluje konkrétnu hodnotu atribútu Code v ICMP protokole. |
| icmp_seq | icmpCodeIPv4 | Kontroluje špecifickú postupnosť hodnôt atribútov Code v ICMP protokole. |
| rpc | ??? | Kľúčove slovo, ktoré slúži na kontrolu čísla aplikácie,verzie a procedúry v sun rpc volaní. |
| ip_proto | protocolIdentifier | Umožňuje nastaviť kontrolu špecifických protokolov. |
| sameip | '' porovnanie políčok v hlavičke '' | Kontroluje či je zdrojová a cieľová adresa rovnaká. |
Edit | Attach | Print version | History: r1 | Backlinks | Raw View | More topic actions
Topic revision: r1 - 25 May 2011 - 18:26:36 - MiroslavPorada
Sandbox Web
Create New Topic
Index
Search
Changes
Notifications
RSS Feed
Statistics
Preferences
DocumentCisco |
|
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors. Ideas, requests, problems regarding TWiki? Send feedback