下面规则是国内某IDS的”P2P BitTorrent请求“匹配规则的描述:
content:'GET';offset=0;depth=4;content:'/announce';content:'info_hash=';offset=4;content:'event=started';offset=4;
事件描述:这一事件表明BitTorrent发出请求。BitTorrent(简称BT,俗称BT下载、变态下载)是一个多点下载的源码公开的P2P软件,使用非常方便,就像一个浏览器插件,很适合新发布的热门下载。
其中关键字解释:
CONTENT:IP包匹配特定的内容;
offset:内容匹配函数的起始搜索位置;
depth:内容匹配函数的最大搜索深度;
偶不明白的是这个offset是从那里开始算起始搜索位置的,是指从IP包的数据段开始呢还是从TCP/UDP的数据段开始呢;depth的搜索深度是指要搜索的关键字的长度呢还是其他什么呢?看其有点象snort规则库定义,但偶不了解其,哪位XD了解可否告知俺一下下。。。。
