6.25. SNMP关键字¶
6.25.1. snmp.version¶
SNMP协议版本(整数)。预期值为1、2(版本2c)或3。
语法::
snmp.version:[op]<number>
版本可以精确匹配,也可以使用 _op_ 设置:
snmp.version:3 # exactly 3
snmp.version:<3 # smaller than 3
snmp.version:>=2 # greater or equal than 2
签名示例:
alert snmp any any -> any any (msg:"old SNMP version (<3)"; snmp.version:<3; sid:1; rev:1;)
6.25.2. snmp.community¶
在版本1和2c中,snmp团体字符串类似于snmp消息的密码。在版本3中,团体字符串可能被加密。如果该值不可访问,则此关键字将不匹配。
只读社区字符串的默认值通常为“public”,读写社区字符串的默认值为“private”。
比较区分大小写。
语法::
snmp.community; content:"private";
签名示例:
alert snmp any any -> any any (msg:"SNMP community private"; snmp.community; content:"private"; sid:2; rev:1;)
snmp.community 是“粘性缓冲区”。
snmp.community 可用作 fast_pattern .
6.25.3. snmp.pdu_type¶
SNMP PDU类型(整数)。
常见值有:
0:获取请求
1:获取下一个任务
2:响应
3:设置请求
4:trapv1(过时,是snmpv1中的旧trap pdu)
5:获取批量请求
6:信息请求
7:TRAPv2
8:报告
如果在(例如,加密的SNMP v3消息)中无法访问该值,则此关键字将不匹配。
语法::
snmp.pdu_type:<number>
签名示例:
alert snmp any any -> any any (msg:"SNMP response"; snmp.pdu_type:2; sid:3; rev:1;)