Cisco Cisco Firepower Management Center 4000 User Guide
27-3
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 DCE/RPC 流量
选择全局 DCE/RPC 选项
许可证:保护
DCE/RPC 预处理器全局选项控制预处理器的工作方式。修改这些选项可能会对性能或检测能力
造成负面影响,但
造成负面影响,但
Memory Cap Reached
选项除外。除非您已充分理解此预处理器及其与已启用的
DCE/RPC 规则之间的交互,否则请勿修改这些选项。尤其是,必须确保
Maximum Fragment Size
选
项和
Reassembly Threshold
选项大于或等于规则需要检测的深度。有关详细信息,请参阅
如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。
Maximum Fragment Size
如果选择了
Enable Defragmentation
,可指定介于 1514 到 65535 字节之间的最大 DCE/RPC 分片
长度。预处理器会在分片重组前将较大分片截断成为指定的尺寸以便进行处理,但不会改变
实际数据包。空白字段将禁用此选项。
实际数据包。空白字段将禁用此选项。
Reassembly Threshold
如果选择了
Enable Defragmentation
,0 将禁用该选项,而 1 到 65535 字节将指定在向规则引擎发
送重组数据包前要排队的分片 DCE/RPC 最小字节数和 (如适用)分段 SMB 最小字节数量。
值越小,实现早期检测的可能性越高,但可能会对性能造成负面影响。如果启用此选项,应
当测试性能所受影响。
值越小,实现早期检测的可能性越高,但可能会对性能造成负面影响。如果启用此选项,应
当测试性能所受影响。
Enable Defragmentation
指定是否对 DCE/RPC 流量进行分片整理。当此选项处于禁用状态时,预处理器仍会检测异
常并向规则引擎发送 DCE/RPC 数据,但可能会检测不出分片 DCE/RPC 数据中的漏洞。
常并向规则引擎发送 DCE/RPC 数据,但可能会检测不出分片 DCE/RPC 数据中的漏洞。
尽管通过此选项可灵活选择是否对 DCE/RPC 流量进行分片重组,但大多数 DCE/RPC 漏洞都
会尝试利用分片隐藏自己。禁用此选项将会忽略大多数已知漏洞,从而造成大量漏报。
会尝试利用分片隐藏自己。禁用此选项将会忽略大多数已知漏洞,从而造成大量漏报。
Memory Cap Reached
检测达到或超过分配给预处理器的最大内存限制的时间。当达到或超过最大内存上限时,预
处理器会释放与造成内存上限事件的会话相关的所有待处理数据并忽略该会话的剩余部分。
处理器会释放与造成内存上限事件的会话相关的所有待处理数据并忽略该会话的剩余部分。
可以启用规则 133:1 为此选项生成事件。有关详情,请参见
。
Auto-Detect Policy on SMB Session
检测在 SMB
Session Setup And
请求和响应中识别出的 Windows 或 Samba 版本。如果检测到的
版本不同于为
Policy
配置选项配置的 Windows 或 Samba 版本,检测到的版本将会仅覆盖为该会
话配置的版本。有关详情,请参见
。
例如,如果将
Policy
设置为 Windows XP,而预处理器检测到 Windows Vista,预处理器将对
该会话使用 Windows Vista 策略。其他设置仍然有效。
如果 DCE/RPC 传输不是 SMB (即,传输协议为 TCP 或 UDP),将无法检测到版本,且策略
不能实现自动配置。
不能实现自动配置。
要启用此选项,请从下拉列表中选择以下其中一项:
–
选择
Client
,检查该策略类型的服务器到客户端流量。
–
选择
Server
,检查该策略类型的客户端到服务器流量。
–
选择
Both
,检查该策略类型的服务器到客户端流量和客户端到服务器流量。