问题遇到的现象和发生背景
这是一条Snort的规则。针对IEC104协议做的IDS规则。检测pcap包是否有可疑问题。但是我看不懂byte_test关键字的含义
问题相关代码,请勿粘贴截图
这是Suricata的用户手册的关于byte_test的关键字介绍:
我想要达到的结果
我找到一些关于byte_test字段的解释:byte_test:4,>,1000,20
它表示从本规则内前面匹配的位置结尾开始,向后偏移20个字节,再获取后面的4个字节的数据,与十进制数据1000进行比较,如果大于1000,就命中
那么**byte_test:1, !&, 1, 2 **怎么理解呢?
从前面匹配的位置结尾开始,向后偏移2个字节,再获取后面的1个字节的数据,与“ 1 ” 异或后取按字节反?那么最后得到一个比特串,这个比特串有什么用?和后面的pcre匹配吗?