6.18. JA3关键词¶
Suricata提供了JA3集成(https://github.com/salesforce/ja3)。JA3用于对TLS客户端进行指纹识别。
必须在suricata配置文件中启用JA3(将“app layer.protocols.tls.ja3 fingerprints”设置为“yes”)。
6.18.1. ja3.hash¶
在JA3哈希(MD5)上匹配。
例子::
alert tls any any -> any any (msg:"match JA3 hash"; \
ja3.hash; content:"e7eca2baf4458d095b7f45da28c16c34"; \
sid:100001;)
ja3.hash
是“粘性缓冲区”。
ja3.hash
可用作 fast_pattern
.
ja3.hash
替换以前的关键字名称: ja3_hash
.您可以继续使用以前的名称,但建议将规则转换为使用新名称。
6.18.2. ja3.string¶
与JA3字符串匹配。
例子::
alert tls any any -> any any (msg:"match JA3 string"; \
ja3.string; content:"19-20-21-22"; \
sid:100002;)
ja3.string
是“粘性缓冲区”。
ja3.string
可用作 fast_pattern
.
ja3.string
替换以前的关键字名称: ja3_string
.您可以继续使用以前的名称,但建议将规则转换为使用新名称。
6.18.3. ja3s.hash¶
匹配JA3S哈希(MD5)。
例子::
alert tls any any -> any any (msg:"match JA3S hash"; \
ja3s.hash; content:"b26c652e0a402a24b5ca2a660e84f9d5"; \
sid:100003;)
ja3s.hash
是“粘性缓冲区”。
ja3s.hash
可用作 fast_pattern
.
6.18.4. ja3s.string¶
与JA3S字符串匹配。
例子::
alert tls any any -> any any (msg:"match on JA3S string"; \
ja3s.string; content:"771,23-35"; sid:100004;)
ja3s.string
是“粘性缓冲区”。
ja3s.string
可用作 fast_pattern
.