DNP3 关键字

DNP3关键字可用于匹配已解码的DNP3消息中的字段。这些关键字基于Snort的DNP3关键字，目标是100%兼容。

1. dnp3_func

此关键字将匹配在DNP3请求和响应中找到的应用程序函数代码。它可以指定为整数值或函数代码的符号名。

1.1 语法

dnp3_func:;

其中value为:

（1）一个介于0和255之间的整数值，包括0和255。

（2）函数功能名：

confirm

read

write

select

operate

direct_operate

direct_operate_nr

immed_freeze

immed_freeze_nr

freeze_clear

freeze_clear_nr

freeze_at_time

freeze_at_time_nr

cold_restart

warm_restart

initialize_data

initialize_appl

start_appl

stop_appl

save_config

enable_unsolicited

disable_unsolicited

assign_class

delay_measure

record_current_time

open_file

close_file

delete_file

get_file_info

authenticate_file

abort_file

activate_config

authenticate_req

authenticate_err

response

unsolicited_response

authenticate_resp

2.dnp3_ind

此关键字匹配响应应用程序头中的DNP3内部指示符标志。

2.1 语法

dnp3_ind:{,...}

其中flag为内部指示器的名称:

all_stations

class_1_events

class_2_events

class_3_events

need_time

local_control

device_trouble

device_restart

no_func_code_support

object_unknown

parameter_error

event_buffer_overflow

already_executing

config_corrupt

reserved_2

reserved_1

这个关键字将匹配列出的任何一个已设置的标志。要在多个标志上匹配(并键入匹配)，必须对每个标志使用dnp3_ind。

2.2 示例

dnp3_ind:all_stations;

dnp3_ind:class_1_events,class_2_events;

3. dnp3_obj

此关键字匹配DNP3应用程序数据对象。

3.1 语法

dnp3_obj:,

其中和为0到255(含255)之间的整数值。

4.dnp3_data

此关键字将导致以下内容选项在重新组装的应用程序缓冲区上匹配。重新组装的应用程序缓冲区是一个删除了CRCs(每16个字节发生一次)的DNP3片段，它将是完整的片段，可能从多个DNP3链接层帧重新组装。

4.1 语法

dnp3_data;

4.2 示例

dnp3_data; content:|c3 06|;