Keywords für Datenströme
flowbits
flowbits besteht aus einer Aktion und dem flowbits-Namen.
Flowbits kann folgende Aktionen durchführen:
Aktion |
Beschreibung |
|---|---|
flowbits: set, name |
Setzt die Bedingung ‚name‘ im Datenstrom, falls vorhanden. |
flowbits: isset, name |
Die Regel generiert eine Warnung, wenn sie zutrifft und die Bedingung im Datenstrom gesetzt ist. |
flowbits: toggle, name |
nicht unterstützt |
flowbits: unset, name |
Entfernt die Bedingung im Datenstrom. |
flowbits: isnotset, name |
Die Regel generiert eine Warnung, wenn sie zutrifft und die Bedingung im Datenstrom nicht gesetzt ist. |
flowbits: noalert |
Diese Regel generiert keine Warnungen. |
flow
Mit dem Keyword flow können Vergleiche mit den Eigenschaften eines Datenstroms, wie Richtung und Verbindungsstatus, durchgeführt werden.
Das Keyword flow kann folgende Optionen haben:
Option |
Beschreibung |
|---|---|
to_client |
Trifft Pakete vom Server zum Client. |
to_server |
Trifft Pakete vom Client zum Server. |
from_client |
Trifft Pakete vom Client zum Server (wie to_server). |
from_server |
Trifft Pakete vom Server zum Client (wie to_client). |
established |
Trifft auf bestehende Verbindungen. |
not_established |
nicht unterstützt |
stateless |
Trifft auf Pakete, die bezüglich Verbindung zustandslos sind. |
only_stream |
nicht unterstützt |
no_stream |
nicht unterstützt |
only_frag |
nicht unterstützt |
no_frag |
nicht unterstützt |
Es können mehrere flow-Optionen kombiniert werden, zum Beispiel:
flow:to_client, established
flow:stateless