このオプションはIPデータグラムヘッダ中のフラグメントビットおよび予約済みビットの分析を行う際に指定する。指定方法は「fragbits:<VALUE>」となる。<VALUE>の部分には、下記のいずれかを指定する。
D | フラグメントしてはならない | |
M | よりフラグメントしている | |
R | 予約済みビット | |
なお、上記に加えて下記のものを指定できる。
* | ワイルドカード | |
! | 否定 | |
+ | そのほかのビットのうち、いずれかを指定ビットフラグに加える | |
- | すべてのビットに対するマイナスサイン | |
このオプションは、ソース/ディスティネーションIPアドレスが同じものであるかどうかを検査するよう指定するものである。指定方法は簡単で、「sameip;」と指定すればよい。
このオプションは、IPプロトコルオプションを指定する際に使用する。指定方法は「ipopt:<VALUE>」となる。<VALUE>部分には下記のいずれかを指定する。
eol | IPリストの末尾を指定 | |
isrr | IPルーズソースルーティング | |
nop | オプションなし | |
rr | 経路記録 | |
satid | IPストリーム指示 | |
sec | IPsecオプション | |
ssrr | 厳格なIPストリームオプション | |
ts | タイムスタンプフィールド | |
このオプションでは、パケット中のフラグメントIDフィールドの値を指定する。指定方法は「ID:<VALUE>」となり、<VALUE>の部分にフラグメントIDフィールドの値を指定する。
このオプションでは、tos(Time-Of-Service)フィールドの値を指定する。指定方法は「tos:<VALUE>」となり、<VALUE>の部分にtosフィールドの値を指定する。
このオプションでは、パケット中のTTL(Time-To-Live)の値を指定する。指定方法は「ttl:<VALUE>」となり、<VALUE>の部分にttlの値を指定する。なお、比較演算子として「<」、「=」、「>」が使用可能である。
このオプションでは、TCPオプションのシーケンス番号を指定する。指定方法は「seq:<VALUE>」となり、<VALUE>の部分にシーケンス番号を指定する。
このオプションでは、TCPオプションの状態を示すフラグを指定する。指定方法は「flags:<VALUE>」となり、<VALUE>の部分には下記の値を1つまたは複数指定することができる。
A | ACKフラグがセットされていることを示す | |
F | FINフラグがセットされていることを示す | |
P | PSHフラグがセットされていることを示す | |
R | RSTフラグがセットされていることを示す | |
S | SYNフラグがセットされていることを示す | |
U | URGフラグがセットされていることを示す | |
0 | フラグが一切セットされていないことを示す | |
1 | 予約ビット1がセットされていることを示す | |
2 | 予約ビット2がセットされていることを示す | |
+ | ほかのフラグと組み合わせて使用し、指定したフラグのほかのフラグを条件に追加 | |
* | ワイルドカード指定 | |
! | 否定 | |
このオプションはackフィールドがTrueであるか否かをチェックする。指定方法は「ack:<VALUE>」となり、<VALUE>の部分にはackフィールドの値を数値で指定する。
このオプションはICMP ECHOのICMP IDフィールドの値を指定する。指定方法は「icmp_id:<VALUE>」となり、<VALUE>の部分にはICMP IDの値を指定する。
このオプションはICMPのシーケンスフィールドの値を指定する。指定方法は「icmp_seq:<VALUE>」となり、<VALUE>の部分にはICMPのシーケンスフィールドの値を指定する。
このオプションはcodeフィールドの値を指定する。指定方法は「icode:<VALUE>」となり、<VALUE>の部分にはcodeフィールドの値を指定する。
このオプションはtypeフィールドの値を指定する。指定方法は「itype:<VALUE>」となり、<VALUE>の部分にはtypeフィールドの値を指定する。
独自ルールファイルで細かなチューニング
シグネチャの構成
ルールヘッダ:ルールアクション
ルールヘッダ:プロトコル
ルールヘッダ:ソース/ディスティネーションIPアドレス
ルールヘッダ:ポート番号
ルールヘッダ:方向指示子
ルールボディ:contentオプション
ルールボディ:uricontentオプション
ルールボディ:depthオプション
ルールボディ:offsetオプション
ルールボディ:nocaseオプション
ルールボディ:sessionオプション
ルールボディ:statelessオプション
ルールボディ:regexオプション
ルールボディ:flowオプション
Page3
ルールボディ:fragbitsオプション(IPオプション)
ルールボディ:sameipオプション(IPオプション)
ルールボディ:ipoptオプション(IPオプション)
ルールボディ:IDオプション(IPオプション)
ルールボディ:tosオプション(IPオプション)
ルールボディ:ttlオプション(IPオプション)
ルールボディ:seqオプション(TCPオプション)
ルールボディ:flagsオプション(TCPオプション)
ルールボディ:ackオプション(TCPオプション)
ルールボディ:icmp_idオプション(ICMPオプション)
ルールボディ:icmp_seqオプション(ICMPオプション)
ルールボディ:icodeオプション(ICMPオプション)
ルールボディ:itypeオプション(ICMPオプション)
ルールボディ:sidオプション
ルールボディ:revオプション
ルールボディ:priorityオプション
ルールボディ:classtypeオプション
ルールボディ:referenceオプション
ルールボディ:msgオプション
ルールボディ:logtoオプション
Copyright © ITmedia, Inc. All Rights Reserved.