Cisco Cisco Firepower Management Center 4000 User Guide
27-5
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 DCE/RPC 流量
思科建议您使用默认检测端口 (可以是已知端口,也可以是各协议的常用端口)。在非默认端口
检测到 DCE/RPC 流量的情况下才可以添加端口。
检测到 DCE/RPC 流量的情况下才可以添加端口。
启用自动检测端口时,请确保将端口范围设置为 1024 到 65535,以便覆盖整个临时端口范围。请
注意,很少会为 RPC over HTTP Proxy Auto-Detect Ports 选项和 SMB Auto-Detect Ports 选项启用
或指定自动检测端口,因为这两者出现流量的可能性很低甚至不可能出现,除非是在指定的默认
检测端口上。另请注意,传输检测端口未识别出的端口才会出现自动检测。有关为每个传输启用
或禁用自动检测端口的建议,请参阅
注意,很少会为 RPC over HTTP Proxy Auto-Detect Ports 选项和 SMB Auto-Detect Ports 选项启用
或指定自动检测端口,因为这两者出现流量的可能性很低甚至不可能出现,除非是在指定的默认
检测端口上。另请注意,传输检测端口未识别出的端口才会出现自动检测。有关为每个传输启用
或禁用自动检测端口的建议,请参阅
。
可以在 Windows 基于目标的策略中为一个或多个传输指定任意组合的端口,以便与网络流量匹
配,但是,在 Samba 基于目标的策略中只能为 SMB 传输指定端口。
配,但是,在 Samba 基于目标的策略中只能为 SMB 传输指定端口。
请注意,在默认基于目标的策略中必须至少启用一个 DCE/RPC 传输,除非已经添加至少已启用一
个传输的 DCE/RPC 基于目标的策略。例如,您可能想为所有 DCE/RPC 实现指定主机,但没有适用
于未指定主机的默认基于目标的策略,在这种情况下,您不会为默认基于目标的策略启用传输。
个传输的 DCE/RPC 基于目标的策略。例如,您可能想为所有 DCE/RPC 实现指定主机,但没有适用
于未指定主机的默认基于目标的策略,在这种情况下,您不会为默认基于目标的策略启用传输。
有关详细信息,请参阅以下各节:
•
•
了解无连接和面向连接 DCE/RPC 流量
许可证:保护
DCE/RPC 消息符合两种不同的 DCE/RPC 协议数据单元 (PDU)之一:
•
面向连接 DCE/RPC PDU 协议
DCE/RPC 预处理器在 TCP、 SMB 和 RPC over HTTP 传输中检测面向连接 DCE/RPC。
•
无连接 DCE/RPC PDU 协议
DCE/RPC 预处理器在 UDP 传输中检测无连接 DCE/RPC。
这两种 DCE/RPC PDU 协议都有独特的报头和数据特性。例如,面向连接的 DCE/RPC 的报头长
度通常为 24 字节,而无连接 DCE/RPC 的报头长度固定为 80 字节。此外,分片无连接 DCE/RPC
的正确分片顺序不能通过无连接传输处理,而必须通过无连接 DCE/RPC 报头值提供保证;相比
之下,传输协议可确保面向连接 DCE/RPC 的分片顺序正确。 DCE/RPC 预处理器使用这些特性及
其他特定协议特性监控这两种协议是否存在异常和其他躲避技术,对流量进行解码和分片重组,
然后再将流量传送到规则引擎。
度通常为 24 字节,而无连接 DCE/RPC 的报头长度固定为 80 字节。此外,分片无连接 DCE/RPC
的正确分片顺序不能通过无连接传输处理,而必须通过无连接 DCE/RPC 报头值提供保证;相比
之下,传输协议可确保面向连接 DCE/RPC 的分片顺序正确。 DCE/RPC 预处理器使用这些特性及
其他特定协议特性监控这两种协议是否存在异常和其他躲避技术,对流量进行解码和分片重组,
然后再将流量传送到规则引擎。