Cisco Cisco Firepower Management Center 4000 User Guide
27-39
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
使用 Sun RPC 预处理器
使用 Sun RPC 预处理器
许可证:保护
RPC (远程过程调用)规范化采用分片 RPC 记录,并将这些记录规范化为单个记录,以便规则
引擎可以检查完整的记录。例如,攻击者可能会试图发现 RPC
引擎可以检查完整的记录。例如,攻击者可能会试图发现 RPC
admind
运行所在的端口。某些
UNIX 主机使用 RPC
admind
执行远程分布式系统任务。如果主机执行弱身份验证,恶意用户可能
会控制远程管理。 Snort ID (SID) 为 575 的标准文本规则 (生成器 ID:1)会搜索特定位置中的内
容,并识别不适当的
容,并识别不适当的
portmap GETPORT
请求,以此来检测这种攻击。
端口
指定要规范化其流量的端口。可在此界面列出多个端口,端口之间用逗号分隔。典型的 RPC
端口为 111 和 32771。如果网络将 RPC 流量发送到其他端口,可考虑添加这些端口。
端口为 111 和 32771。如果网络将 RPC 流量发送到其他端口,可考虑添加这些端口。
Detect fragmented RPC records
检测 RPC 分片记录。
可以启用规则 106:1 和 106:5 为此选项生成事件。有关详情,请参见
Detect multiple records in one packet
在每个数据包 (或重组数据包)中检测多于一个 RPC 请求。
可以启用规则 106:2 为此选项生成事件。有关详情,请参见
。
Detect fragmented record sums which exceed one fragment
检测超过当前数据包长度的重组分片记录长度。
可以启用规则 106:3 为此选项生成事件。有关详情,请参见
。
Detect single fragment records which exceed the size of one packet
检测部分记录。
可以启用规则 106:4 为此选项生成事件。有关详情,请参见
。
表
27-9
其他
HTTP
检查预处理器规则
预处理器规则
GID:SID
GID:SID
说明
120:5
如果在 HTTP 响应流量中遇到 UTF-7 编码,将会生成事件;UTF-7 应仅在需
要 7 位奇偶校验的情况下出现,例如, SMTP 流量。
要 7 位奇偶校验的情况下出现,例如, SMTP 流量。
119:21
如果 HTTP 请求报头包含多于一个
content-length
字段,将会生成事件。
119:24
如果 HTTP 请求包含多于一个主机报头,将会生成事件。
119:28
120:8
如果启用,这些规则不生成事件。
119:32
如果在流量中遇到 HTTP 0.9,将会生成事件。请注意,还必须启用 TCP
Stream Configuration。请参阅
Stream Configuration。请参阅
119:33
如果 HTTP URI 包含非转义空格,将会生成事件。
119:34
如果 TCP 连接包含 24 个或更多管道化 HTTP 请求,将会生成事件。