6.18. JA3关键词

Suricata提供了JA3集成(https://github.com/salesforce/ja3)。JA3用于对TLS客户端进行指纹识别。

必须在suricata配置文件中启用JA3(将“app layer.protocols.tls.ja3 fingerprints”设置为“yes”)。

6.18.1. ja3.hash

在JA3哈希(MD5)上匹配。

例子::

alert tls any any -> any any (msg:"match JA3 hash"; \
    ja3.hash; content:"e7eca2baf4458d095b7f45da28c16c34"; \
    sid:100001;)

ja3.hash 是“粘性缓冲区”。

ja3.hash 可用作 fast_pattern .

ja3.hash 替换以前的关键字名称: ja3_hash .您可以继续使用以前的名称,但建议将规则转换为使用新名称。

6.18.2. ja3.string

与JA3字符串匹配。

例子::

alert tls any any -> any any (msg:"match JA3 string"; \
    ja3.string; content:"19-20-21-22"; \
    sid:100002;)

ja3.string 是“粘性缓冲区”。

ja3.string 可用作 fast_pattern .

ja3.string 替换以前的关键字名称: ja3_string .您可以继续使用以前的名称,但建议将规则转换为使用新名称。

6.18.3. ja3s.hash

匹配JA3S哈希(MD5)。

例子::

alert tls any any -> any any (msg:"match JA3S hash"; \
    ja3s.hash; content:"b26c652e0a402a24b5ca2a660e84f9d5"; \
    sid:100003;)

ja3s.hash 是“粘性缓冲区”。

ja3s.hash 可用作 fast_pattern .

6.18.4. ja3s.string

与JA3S字符串匹配。

例子::

alert tls any any -> any any (msg:"match on JA3S string"; \
    ja3s.string; content:"771,23-35"; sid:100004;)

ja3s.string 是“粘性缓冲区”。

ja3s.string 可用作 fast_pattern .