suricata lua脚本

lua 脚本 语法：

lua:[!]<scriptfilename>;

脚本文件名将附加到您的默认规则位置。该脚本有2个部分，一个init函数和一个match 函数。

1. Init  function

图1

init函数注册需要检查的缓冲区。目前有以下可用：

packet  - 整个数据包，包括标头

payload - 数据包有效负载（不是流）

http.uri

http.uri.raw

http.request_line

http.request_headers

http.request_headers.raw

http.request_cookie

http.request_user_agent

http.request_body

http.response_headers

http.response_headers.raw

http.response_body

http.response_cookie

所有HTTP缓冲区都有一个限制：一次只能由脚本检查一个

2.Match function

图2

该脚本可以返回1或0.如果检查匹配的条件，则返回1，否则返回0。整个脚本

图3