來源自我的部落格
http://www.yingzinanfei.com/2017/02/01/snortguizebyte_testxiangxijieshi/
網上關于snort規則的解讀不夠詳細,有些規則甚至沒有具體的解釋。
根據個人經驗,介紹幾個如下:
Byte_Test
測試一個位元組的域為特定的值。能夠測試二進制值或者把位元組字元串轉換成二進制後再測試。
格式:byte_test: , , , [[relative],[big],[little],[string],[hex],[dec],[oct]]
bytes_to_convert 從資料包取得的位元組數。
operator 對檢測執行的操作 (<,>,=,!)。
value 和轉換後的值相測試的值。
offset 開始處理的位元組在負載中的偏移量。
relative 使用一個相對于上次模式比對的相對的偏移量。
big 以網絡位元組順序處理資料(預設)。
little 以主機位元組順序處理資料。
string 資料包中的資料以字元串形式存儲。
hex 把字元串資料轉換成十六進制數形式。
dec 把字元串資料轉換成十進制數形式。
oct 把字元串資料轉換成八進制數形式。
例子:
byte_test:4,>,1000,20
這裡是從本規則内前面比對的位置結尾開始,向後偏移20個位元組,再擷取後面的4個位元組的資料,與十進制資料1000進行比較,如果大于1000,就命中。
其實byte_test這個規則與content這個規則相比大緻就是增加了>和<這兩個方法,因為對content來說其隻能進行相等的比較。
![Mysql orderby limit 索引命中規則[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)