SSL/TLS-Keywords

Mehrere Regel-Keywords, die Vergleiche mit verschiedenen Eigenschaften des TLS/SSL-Handshake durchführen. Alle unterstützen Felder sind Sticky Buffer und können mit fast_pattern verwendet werden.

tls.cert_subject

Trifft das Betrefffeld des TLS/SSL-Zertifikats.

Zum Beispiel:

alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in tls subject field"; \
tls.cert_subject; content:"Test Certificate ECDSA"; sid:1; rev:1;)

tls.cert_issuer

Trifft das Ausstellerfeld des TLS/SSL-Zertifikats.

Zum Beispiel:

alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in tls issuer field"; \
tls.cert_issuer; content:"Let's Encrypt"; sid:2; rev:1;)

tls.sni

Trifft das Namensfeld des TLS/SSL-Servers.

Zum Beispiel:

alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in tls sni field"; \
tls.sni; content:"example.org"; sid:3; rev:1;)

tls.certs

Führt einen „raw“-Vergleich mit jedem Zertifikat in der TLS-Zertifikatskette durch.

Zum Beispiel:

alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching Algorithm Id sha256WithRSAEncryption"; \
tls.certs; content:"|2a 86 48 86 f7 0d 01 01 0b|"; sid:4; rev:1;)