本文介绍suricata支持的IP、TCP、ICMP三种协议的数据包头关键字,http协议由于比较常用,关键字也比较多所以后面单独介绍,而其他应用层协议暂无特定的关键字。
首先需要对IP协议有一定的了解,网际协议-维基百科,RFC 791,IPv4-维基百科。
IPv4协议的格式如下:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live | Protocol | Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Example Internet Datagram Header
ttl关键字用于检测IP数据包头部的TTL(time to live)字段,表示这个数据包能在网络中的最大生存时间,每经过一个路由器便会减1,当这个数值变为0时数据包便会被丢弃,ttl字段是防止数据包在不可达的情况下一直占用网络资源。ttl关键字的格式为:
ttl:number;
ipopts关键字检查的是IP数据包中可选字段中设置的选项,格式如下,每条规则只能使用一次ipopts关键字,但可以使用“|”来分隔多个选项:
ipopts:opt_name;
所有的选项名为:
rr - Record Route
eol - End of list
nop - No Op
ts - Time Stamp
sec - IP Security
esec - IP Extended Security
lsrr - Loose Source Routing
lsrre - Loose Source Routing (For MS99-038 and CVE-1999-0909)
ssrr - Strict Source Routing
satid - Stream identifier
any - any IP options are set
sameip关键字检查源IP地址与目的IP地址是否相同,仅在相同的情况下才进行匹配,直接在规则中写上sameip;
就可以了。正如下面这个例子:
ip_proto关键字用来匹配IP数据包的协议部分,下面列出了部分协议的编号和名字,详细的编号和协议可以参考维基百科的List of IP protocol numbers:
1 ICMP Internet Control Message
6 TCP Transmission Control Protocol
17 UDP User Datagram
47 GRE General Routing Encapsulation
50 ESP Encap Security Payload for IPv6
51 AH Authentication Header for Ipv6
58 IPv6-ICMP ICMP for Ipv6
ip_proto可以使用协议的编号或名称,比如ip_proto:1;
和ip_proto:ICMP;
的作用相同。
在IP数据包中Identification字段是标识一个数据包的特殊值,每发送一个数据包这个字段的值便会加1,有时当上层协议的数据包长度大于一个特定值时IP协议便会将数据分片到多个IP数据包中进行传输,接收端收到后根据ID号相同的数据包进行重新组装,而id关键字正是用来检查这个字段的值。格式为:
id:number;
在这里要多说几句,由于IP协议不是可靠的传输协议,只能保证尽可能的将数据包传输到目的地址,所以当IP分片的数据包较多的时候万一其中有一个分片数据包丢失就会导致所有数据包重新传输,这是因为其没有重传机制,不知道是哪个数据包丢失了,这样一来造成大量的资源和时间的浪费,因此在IPv6中取消了IP数据包分片机制,超过了特定长度直接抛弃。
TCP协议是可靠传输协议,并且具有超时重传机制,因此使用了TCP协议会尽量避免使用IP分片,这里用到了TCP报文重组技术。就是在传输层或更上层的协议中的数据超出了单个IP数据包的最大传输长度(MTU,Maximal Transmit Unit),则在TCP协议中对其分段,并且使用窗口管理,使得丢失的数据包可以重传。但是像UDP、ICMP等协议也是不可靠传输,因此有时还是需要使用IP协议的分片机制的。
IP数据包的分片机制中有着重要作用的是Flags和Fragment Offset两个字段。Flags字段占3位,最低位保留,必须为0;第二位为0表示该数据包支持分片,1表示不可分片;第三位为0表示当前数据包时分片的最后一个包,为1表示后面还有分片的包。
fragbits关键字使用R/D/M分别匹配Flags的三位:
R 保留位Reserved Bit
D 不可分片Do not Fragment
M More Fragments
并且还可以使用量词来进行多种情况的匹配:
+ 匹配列出的所有位
* 匹配列出的任意一位
! 不匹配列出的所有位
fragbits关键字的格式为:
fragbits:[*+!]<[MDR]>;
下面来列举一些例子:
fragbits:+RM; 表示匹配Flags标志位为000的数据包
fragbits:!M; 表示匹配标志位为**0的数据包,此处*表示通配符,即匹配不可分片或可分片的最后一个数据包
IP头格式中紧跟着Flags标志的是13位的Fragment Offset字段,这个字段和Flags共同使用,表示当前数据包中的内容在原始数据包中所在的偏移。可以使用<,>和!来作为数字的操作符。fragoffset关键字的格式为:
fragoffset:[!|<|>]<number>;
一般情况下fragoffset和fragbits关键字一起使用,如下例子表示匹配分片会话的第一个数据包:
fragbits:M;fragoffset:0;
Geoip技术通过网络流量中的IP地址来判断其所属的国家和城市,suricata使用的是Maxmind提供的GeoIP API。如下例子,其中国家代码可以参考ISO 3166-1:
geoip: src, RU;
geoip: both, CN, RU;
geoip: dst, CN, RU, IR;
geoip: both, US, CA, UK;
geoip: any, CN, IR;
上面用到了src、both、dst和any所表示的意思分别为:
src 表示源IP地址匹配列出的国家
dst 表示目的IP地址匹配列出的国家
both 表示无论是源IP还是目的IP地址都匹配列出的国家
any 表示源IP或目的IP地址匹配列出的国家
TCP协议的格式和介绍——TCP协议-维基百科,RFC 793。
TCP协议的数据包格式:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sequence Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Acknowledgment Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data | |U|A|P|R|S|F| |
| Offset| Reserved |R|C|S|S|Y|I| Window |
| | |G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | Urgent Pointer |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
TCP Header Format
seq关键字用来检查TCP数据包的序列号(Sequence Number),序列号对于TCP协议的可靠传输、重传机制和确认都有着非常重要的作用,序列号由客户端第一次发起TCP的SYN请求时随机产生,而后的增长都是在这个基础上每发送一个字节加1。seq关键字可以写成如下格式:
seq:1;
来自维基百科的这张图可以很清楚的理解序列号在TCP协议中的作用:
和seq关键字类似,ack关键字是检查确认号(Acknowledgment Number)的,在上一张图中也已经表现的很清楚了。
window关键字用来匹配TCP数据包中的Window字段,格式如下:
window:[!]<number>;
Window字段由数据包的接收者设置,表明其能接受的最大的字节数,防止一次性接收过多的数据导致缓冲区溢出,其数值取2-65535之间。
ICMP和IP协议都处于网络层,它用于在网络中发送控制消息,并对产生的问题进行反馈和检查,可以更容易地采取措施来解决问题,ICMP是不可靠的传输协议。参考互联网控制消息协议-维基百科,RFC 792。
由于ICMP可以反馈很多网络中出现的问题,所以其数据包格式也会有一定的不同,Type为3时的格式如下:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Code | Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| unused |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Internet Header + 64 bits of Original Data Datagram |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
itype关键字用于检测ICMP报文的Type类型,ICMP协议有多种类型以反馈不同的问题,下面列出几个典型的类型,更多类型请参考上面的维基百科和RFC文档:
0 echo响应(ping使用到)
3 目标不可达
4 ICMP拥塞控制
5 路径控制
8 echo请求
11 ICMP超时
itype关键字有两种格式:
itype:min<>max;
itype:[<|>]<number>;
比如itype:>10;
表示匹配ICMP类型大于10的报文。
ICMP在每个Type下还用code对各个问题进行更加精确的划分。比如Type为3下还分了很多种原因导致的目的地不可达:
icode的关键字的用法和itype类似:
icode:min<>max;
icode:[<|>]<number>;
当ICMP报文的Type值为0或8时有一个ID,当报文的接收者收到一个ICMP报文时他会使用相同的ID给发送者返回相关的反馈信息。格式为:
icmp_id:number;
icmp_seq通常和icmp_id一起使用,格式也和icmp_id相同,也是为了确认ICMP反馈的数据包对应的request数据包信息。
本文简单了解了IP/TCP/ICMP三种协议,在此基础上学习了suricata针对这三种协议头的部分字段的检测。有时这些字段的检测并不能确定一次攻击,但是在很多恶意攻击的前面阶段可以使用这些字段写的规则来完成一些状态的设置,方便后续更精确的对恶意攻击进行检测,同时还能还原整个攻击过程,提高整体的检测效果。
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Header_keywords
http://zh.wikipedia.org/wiki/%E7%BD%91%E9%99%85%E5%8D%8F%E8%AE%AE
http://www.rfcsearch.org/rfcview/RFC/791.html#3.1
http://zh.wikipedia.org/wiki/IPv4#.E9.A6.96.E9.83.A8
http://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
http://zh.wikipedia.org/wiki/%E4%BC%A0%E8%BE%93%E6%8E%A7%E5%88%B6%E5%8D%8F%E8%AE%AE
http://tools.ietf.org/html/rfc793
http://zh.wikipedia.org/wiki/%E4%BA%92%E8%81%94%E7%BD%91%E6%8E%A7%E5%88%B6%E6%B6%88%E6%81%AF%E5%8D%8F%E8%AE%AE
http://tools.ietf.org/html/rfc792