6.27. SIP关键字¶
SIP关键字被实现为粘性缓冲区,可以用来匹配SIP消息中的字段。
关键字 |
方向 |
|---|---|
sip.method |
请求 |
sip.uri |
请求 |
sip.request_line |
请求 |
sip.stat_code |
响应 |
sip.stat_msg |
响应 |
sip.response_line |
响应 |
sip.protocol |
两个 |
6.27.1. sip.method¶
此关键字与SIP请求中找到的方法匹配。
6.27.1.1. 句法¶
sip.method; content:<method>;
方法示例如下:
INVITE
BYE
REGISTER
CANCEL
ACK
OPTIONS
6.27.1.2. 实例¶
sip.method; content:"INVITE";
6.27.2. sip.uri¶
此关键字与在SIP请求中找到的uri匹配。
6.27.2.1. 句法¶
sip.uri; content:<uri>;
其中<uri>是遵循SIP uri方案的uri。
6.27.2.2. 实例¶
sip.uri; content:"sip:sip.url.org";
6.27.3. sip.request_line¶
此关键字强制检查整个SIP请求行。
6.27.3.1. 句法¶
sip.request_line; content:<request_line>;
其中<request_line>是部分行或完整行。
6.27.3.2. 实例¶
sip.request_line; content:"REGISTER sip:sip.url.org SIP/2.0"
6.27.4. sip.stat_code¶
此关键字与在SIP响应中找到的状态代码匹配。
6.27.4.1. 句法¶
sip.stat_code; content:<stat_code>
其中<status_code>属于以下代码组之一:
1xx-临时响应
2xx-成功响应
3xx-重定向响应
4xx-客户端故障响应
5xx-服务器故障响应
6xx-全局故障响应
6.27.4.2. 实例¶
sip.stat_code; content:"100";
6.27.5. sip.stat_msg¶
此关键字与在SIP响应中找到的状态消息匹配。
6.27.5.1. 句法¶
sip.stat_msg; content:<stat_msg>
其中<stat_msg>是与状态代码关联的原因短语。
6.27.5.2. 实例¶
sip.stat_msg; content:"Trying";
6.27.6. sip.response_line¶
此关键字强制检查整个SIP响应行。
6.27.6.1. 句法¶
sip.response_line; content:<response_line>;
其中<response_line>是部分或完整行。
6.27.6.2. 实例¶
sip.response_line; content:"SIP/2.0 100 OK"
6.27.7. sip.protocol¶
此关键字与来自SIP请求或响应行的协议字段相匹配。
如果响应行是“SIP/2.0 100 OK”,则此缓冲区将包含“SIP/2.0”
6.27.7.1. 句法¶
sip.protocol; content:<protocol>
其中,<protocol>是SIP协议版本。
6.27.7.2. 例子¶
sip.protocol; content:"SIP/2.0"