6.30. IKE关键字¶
关键字
ike.init_spiike.resp_spiike.chosen_sa_attributeike.exchtypeike.vendorike.key_exchange_payloadike.key_exchange_payload_lengthike.nonce_payloadike.nonce_payload_length
可用于匹配IKE连接的各种属性。
6.30.1. ike.init_spi、ike.resp_spi¶
与发起方或响应方的安全参数索引(SPI)的精确值匹配。
实例:
ike.init_spi; content:"18fe9b731f9f8034";
ike.resp_spi; content:"a00b8ef0902bb8ec";
ike.init_spi 和 ike.resp_spi 是“粘性缓冲区”。
ike.init_spi 和 ike.resp_spi 可用作 fast_pattern 。
6.30.2. ike.chosen_sa_attribute¶
与响应器选择的安全关联(SA)的属性值匹配。IKEv1支持的内容包括: alg_enc , alg_hash , alg_auth , alg_dh , alg_prf , sa_group_type , sa_life_type , sa_life_duration , sa_key_length 和 sa_field_size 。IKEv2支持 alg_enc , alg_auth , alg_prf 和 alg_dh 。
如果选择了多个SA,则事件 MultipleServerProposal 已经设置好了。第一个SA的属性用于该关键字。
实例:
ike.chosen_sa_attribute:alg_hash=2;
ike.chosen_sa_attribute:sa_key_length=128;
6.30.3. ike.exchtype¶
与Exchange Type的值匹配。
此关键字在冒号后接受数字参数,并支持其他限定符,例如:
>(大于)<(小于)>=(大于或等于)<=(小于或等于)arg1-arg2(范围)
实例:
ike.exchtype:5;
ike.exchtype:>=2;
6.30.4. ike.vendor¶
将供应商ID与收集的供应商ID列表进行匹配。
实例:
ike.vendor:4a131c81070358455c5728f20e95452f;
6.30.5. ike.key_exchange_payload¶
与服务器或客户端的公钥交换有效负载(例如Diffie-Hellman)匹配。
实例:
ike.key_exchange_payload; content:"|6d026d5616c45be05e5b898411e9|"
ike.key_exchange_payload 是一个“粘性缓冲区”。
ike.key_exchange_payload 可用作 fast_pattern 。
6.30.6. ike.key_exchange_payload_length¶
与服务器或客户端的公钥交换有效负载(例如Diffie-Hellman)的长度匹配。
此关键字在冒号后接受数字参数,并支持其他限定符,例如:
>(大于)<(小于)>=(大于或等于)<=(小于或等于)arg1-arg2(范围)
实例:
ike.key_exchange_payload_length:>132
6.30.7. ike.nonce_payload¶
与服务器或客户端的随机数匹配。
实例:
ike.nonce_payload; content:"|6d026d5616c45be05e5b898411e9|"
ike.nonce_payload 是一个“粘性缓冲区”。
ike.nonce_payload 可用作 fast_pattern 。
6.30.8. ike.nonce_payload_length¶
与服务器或客户端的随机数的长度匹配。
此关键字在冒号后接受数字参数,并支持其他限定符,例如:
>(大于)<(小于)>=(大于或等于)<=(小于或等于)arg1-arg2(范围)
实例:
ike.nonce_payload_length:132
ike.nonce_payload_length:>132
6.30.9. 附加信息¶
有关该协议及其包含的数据的更多信息可在此处找到: https://tools.ietf.org/html/rfc2409