在 Junos 中配置自定义攻击签名时,我陷入了困境。根据Junos 自定义攻击定义文档页面,我可以根据数据包中的签名设置自定义攻击。在文档中,您可以指定要匹配的“模式”,但它无法描述模式语法应该是什么。特别是,我想匹配的十六进制值
8C 00 13 00
在 TCP 数据负载的前四个字节中。有谁知道如何正确地做到这一点?
AskOverflow.Dev
在 Junos 中配置自定义攻击签名时,我陷入了困境。根据Junos 自定义攻击定义文档页面,我可以根据数据包中的签名设置自定义攻击。在文档中,您可以指定要匹配的“模式”,但它无法描述模式语法应该是什么。特别是,我想匹配的十六进制值
8C 00 13 00
在 TCP 数据负载的前四个字节中。有谁知道如何正确地做到这一点?
您可以使用命令查看默认攻击对象的其他模式
show log /var/db/idpd/sec-download/SignatureUpdate.xml这里有一些 exdecimal 的例子:
<Pattern><![CDATA[.*\xeb 2c 5b 89 d9 80 c1 06 39 d9 7c 07 80 01\x.*]]></Pattern><Pattern><![CDATA[.*\xffff ff2f 4249 4e2f 5348 00\x.*]]></Pattern>
<Pattern><![CDATA[.*\x7FFF FB78 7FFF FB78 7FFF FB78 7FFF FB78\x.*\x408A FFC8 4082 FFD8 3B36 FE03 3B76 FE02\x.*]]></Pattern>
<Pattern><![CDATA[.*\xeb23 5e33 c088 46fa 8946 f589 36\x.*]]></Pattern>
所以你的模式应该是:
<Pattern><![CDATA[.*\x8C 00 13 00\x.*]]></Pattern>