Anticisco https://anticisco.ru/forum/ |
|
Создание сигнатур IPS https://anticisco.ru/forum/viewtopic.php?f=8&t=596 |
Страница 1 из 1 |
Автор: | tsippa [ 12 мар 2010, 18:01 ] |
Заголовок сообщения: | Создание сигнатур IPS |
Пытаюсь создать свою сигнатуру, которая определяет наличие определенного шаблона в HTTP трафике. С латиницей все работает, а вот русский язык не поддается. Пробовал создавать regex с кодами юникода (%F2%E5%F1%F2 и просто F2E5F1F2) - не работает. Кто-нибудь делал подобное? |
Автор: | Fedia [ 13 мар 2010, 22:58 ] |
Заголовок сообщения: | Re: Создание сигнатур IPS |
А ежли сниффернуть пакет, передаваемый по http? Есть у меня подозрение, что не юникод там передается... ЗЫ Сам не пробовал русское ловить. Все больше заголовками перебивался, а там все по ненашему Кстати, когда используете описание юникодом, ничего маскировать не надо? |
Автор: | tsippa [ 15 мар 2010, 11:01 ] |
Заголовок сообщения: | Re: Создание сигнатур IPS |
Снифал трафик, русский язык идет юникодом (по крайней мере на нескольких сайтах). Про маскировку не знаю пока, буду дальше раскуривать мануалы |
Автор: | Fedia [ 15 мар 2010, 11:45 ] |
Заголовок сообщения: | Re: Создание сигнатур IPS |
Есть подозрение (порылся в доках по regex языку), что юникод у циски не % обозначается. К тому же сенсор может делать de-obfuscate, приводя сначала к какому-то одному виду (не скажу, к какому - не знаю точно), а уж потом накладывать сигнатуру Можно попробовать вариант \x{шестнадцатиричный код} ___________________________________ \xFF where FF are 2 hexadecimal digits Matches the character with the specified ASCII/ANSI value, which depends on the code page used. Can be used in character classes. ___________________________________ |
Автор: | tsippa [ 15 мар 2010, 12:30 ] |
Заголовок сообщения: | Re: Создание сигнатур IPS |
Все верно, именно /xHH. таким макаром заработало. Кому интересно, ссылочка на описание Regex в IPS http://www.cisco.com/en/US/docs/securit ... #wp1051082 Fedia спасибо за помощь |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |