linefilt

dsize dsize는 일반적으로 IP, 및 TCP, UDP 패킷의 페이로드를 매치하는데 사용할 수 있다. isdataat isdataat은 보통 페이로드 존재에 대한 유효성을 검사하는데 사용한다. 스트림 탐지에서 isdataat은 누적 길이를 기반하여 판단한다. Payload Header 대부분의 프로토콜들은 각각 자신들의 메시지에 대한 정보를 담고 있다. 이 정보를 탐지하여 길이를 유추할 수 있다. 상황에 따라 각 옵션들을 적절히 사용하는 것이 중요하다. dsize는 가급적 원래의 메시지 자체가 300이하와 같이 작은 메시지에 대해서 사용하는 것이 적절하다. 클라이언트는 각각의 MTU 사이즈를 직접 조정할 수 있기에 큰 값을 매치하는 것은 우회 가능성을 높인다. 서버 접속에서 너무 작은 MTU에 대한..

아래 글은 suricata 기준에서의 isdataat에 대한 동작 설명이다. isdataat은 특정 위치(커서)에 페이로드 값의 존재 여부를 검증하는데 사용된다. isdataat의 옵션으로 제공되는 relative는 마지막으로 매치된(룰 상에서 바로 좌측에 위치한) content로 부터 기준 하기 때문에 부분적인 길이를 매치하는데에도 사용할 수 있고 negate "!"를 통해서 페이로드가 존재하지 않은 경우에 대하여도 사용가능하다. 1. 페이로드의 길이 보장 관리자는 100바이트 크기를 가지는 Cookie 필드에 "userID=sysadmin" 라는 값이 있는 요청에 대하여 통계 내려고 할 때, (Cookie 헤더는 가장 마지막에 위치한다고 간주) "userID=sysadmin" 값은 Cookie 필드 ..