Я застрял на этапе настройки сигнатуры настраиваемой атаки в Junos. Согласно Страница документации Junos Custom Attack Definition, Я могу настроить индивидуальную атаку на основе подписи в пакете. В документации вы можете указать «шаблон» для сопоставления, но в ней не описывается, каким должен быть синтаксис шаблона. В частности, я хочу сопоставить значения HEX
8C 00 13 00
в первых четырех байтах полезных данных TCP. Кто-нибудь знает, как это правильно сделать?
Вы можете посмотреть другие шаблоны для объектов атаки по умолчанию с помощью команды
show log /var/db/idpd/sec-download/SignatureUpdate.xml
вот несколько шестнадцатеричных примеров:
<Pattern><![CDATA[.*\xeb 2c 5b 89 d9 80 c1 06 39 d9 7c 07 80 01\x.*]]></Pattern>
<Pattern><![CDATA[.*\xffff ff2f 4249 4e2f 5348 00\x.*]]></Pattern>
<Pattern><![CDATA[.*\x7FFF FB78 7FFF FB78 7FFF FB78 7FFF FB78\x.*\x408A FFC8 4082 FFD8 3B36 FE03 3B76 FE02\x.*]]></Pattern>
<Pattern><![CDATA[.*\xeb23 5e33 c088 46fa 8946 f589 36\x.*]]></Pattern>
так что ваш шаблон должен быть:
<Pattern><![CDATA[.*\x8C 00 13 00\x.*]]></Pattern>