Vorlage:Suricata-rules-beschreibung
Zur Navigation springen
Zur Suche springen
| Schlüsselwort | Beschreibung |
|---|---|
| alert / drop | Aktion bei Regelübereinstimmung. alert erzeugt einen Logeintrag, drop verwirft das Paket zusätzlich. |
| icmp / tcp / udp / http / dns | Protokoll das überwacht wird. |
| any | Platzhalter für beliebige IP-Adresse oder Port. |
| -> | Richtung des Datenverkehrs (Quelle → Ziel). |
| msg:"..." | Beschreibung die im Alert-Log erscheint. |
| classtype:... | Kategorie des Angriffs (z.B. web-application-attack, attempted-recon, policy-violation). |
| sid:... | Eindeutige Signatur-ID der Regel. Eigene Regeln beginnen ab 9000000. |
| flow:... | Verbindungsstatus (z.B. established, to_server, stateless). |
| content:"..." | Zeichenkette nach der im Paketinhalt gesucht wird. |
| nocase | Groß-/Kleinschreibung wird beim content-Vergleich ignoriert. |
| http_client_body | Sucht den content nur im HTTP-Request-Body. |
| http.user_agent | Sucht den content im HTTP User-Agent Header. |
| dns.query | Sucht den content im DNS-Query-Namen. |
| flags:... | TCP-Flags (z.B. S=SYN, F=FIN, FPU=XMAS). |
| itype:... | ICMP-Typ (z.B. 8 = Echo Request). |
| dsize:... | Größe der Nutzdaten in Bytes. |
| detection_filter:... | Schwellenwert für Häufigkeit bevor die Regel auslöst. |
| threshold:... | Begrenzung wie oft ein Alert pro Zeitraum ausgelöst wird. |
| rev:... | Revisionsnummer der Regel. |