Сообщения без ответов | Активные темы Текущее время: 02 июл 2022, 06:03



Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 5 ] 
Создание сигнатур IPS 
Автор Сообщение

Зарегистрирован: 04 июн 2009, 23:52
Сообщения: 275
Пытаюсь создать свою сигнатуру, которая определяет наличие определенного шаблона в HTTP трафике.
С латиницей все работает, а вот русский язык не поддается.
Пробовал создавать regex с кодами юникода (%F2%E5%F1%F2 и просто F2E5F1F2) - не работает.
Кто-нибудь делал подобное?


12 мар 2010, 18:01
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
А ежли сниффернуть пакет, передаваемый по http?

Есть у меня подозрение, что не юникод там передается...

ЗЫ Сам не пробовал русское ловить. Все больше заголовками перебивался, а там все по ненашему :)

Кстати, когда используете описание юникодом, ничего маскировать не надо?


13 мар 2010, 22:58
Профиль

Зарегистрирован: 04 июн 2009, 23:52
Сообщения: 275
Снифал трафик, русский язык идет юникодом (по крайней мере на нескольких сайтах).
Про маскировку не знаю пока, буду дальше раскуривать мануалы :geek:


15 мар 2010, 11:01
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Есть подозрение (порылся в доках по regex языку), что юникод у циски не % обозначается. К тому же сенсор может делать de-obfuscate, приводя сначала к какому-то одному виду (не скажу, к какому - не знаю точно), а уж потом накладывать сигнатуру

Можно попробовать вариант
\x{шестнадцатиричный код}
___________________________________
\xFF where FF are 2 hexadecimal digits Matches the character with the specified ASCII/ANSI value, which depends on the code page used. Can be used in character classes.
___________________________________


15 мар 2010, 11:45
Профиль

Зарегистрирован: 04 июн 2009, 23:52
Сообщения: 275
Все верно, именно /xHH. таким макаром заработало.
Кому интересно, ссылочка на описание Regex в IPS http://www.cisco.com/en/US/docs/securit ... #wp1051082

Fedia спасибо за помощь :)


15 мар 2010, 12:30
Профиль
Показать сообщения за:  Поле сортировки  
Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB