Cisco Cisco Firepower Management Center 4000 User Guide
27-57
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
使用 SSH 预处理器检测攻击
启用 SMTP 最大解码内存警报
许可证:保护
可以启用 SMTP 预处理器规则 124:9,以便当启用的预处理器使用系统允许用于解码以下类型编
码数据的最大内存量时生成事件:
码数据的最大内存量时生成事件:
•
Base64
•
7 位/8 位/二进制
•
Quoted-printable
•
Unix-to-Unix
如果超过最大解码内存,预处理器将停止解码这些类型的编码数据,直至内存可用。这个预处理
器规则与单个特定配置选项不相关。有关启用规则的详细信息,请参阅
器规则与单个特定配置选项不相关。有关启用规则的详细信息,请参阅
使用 SSH 预处理器检测攻击
许可证:保护
SSH 预处理器可检测质询-响应缓冲区溢出攻击、 CRC-32 攻击、 SecureCRT SSH 客户端缓冲区溢
出攻击、协议不匹配攻击以及错误的 SSH 消息传输方向。预处理器还可以检测任何版本字符串
出攻击、协议不匹配攻击以及错误的 SSH 消息传输方向。预处理器还可以检测任何版本字符串
(版本 1 和 2 除外)。
密钥交换后,会发生质询-响应缓冲区溢出攻击和 CRC-32 攻击,进而被加密。这两种攻击在身份
验证质询之后立即向服务器发送超过 20 KB 的反常态大量负载。CRC-32 攻击仅适用于 SSH 版本
1;质询-响应缓冲区溢出攻击仅适用于 SSH 版本 2。会话开始时可读取版本字符串。除了版本字
符串中存在差异外,这两种攻击都可以同样的方式加以处理。
验证质询之后立即向服务器发送超过 20 KB 的反常态大量负载。CRC-32 攻击仅适用于 SSH 版本
1;质询-响应缓冲区溢出攻击仅适用于 SSH 版本 2。会话开始时可读取版本字符串。除了版本字
符串中存在差异外,这两种攻击都可以同样的方式加以处理。
在密钥交换之前尝试进行连接时,会发生 SecureCRT SSH 攻击和协议不匹配攻击。 SecureCRT 漏
洞会向客户端发送超长协议标识符字符串,从而导致缓冲区溢出。如果非 SSH 客户端应用试图连
接到安全 SSH 服务器或者服务器和客户端的版本号不匹配,会出现协议不匹配攻击。
洞会向客户端发送超长协议标识符字符串,从而导致缓冲区溢出。如果非 SSH 客户端应用试图连
接到安全 SSH 服务器或者服务器和客户端的版本号不匹配,会出现协议不匹配攻击。
可以将预处理器配置为会检查指定端口或端口列表的流量,或者会自动检测 SSH 流量。预处理器
将会继续检查 SSH 流量,直至传递了未超过指定字节数的指定数量的加密数据包,或者直至超过
指定数量的数据包中指定的最大字节数。如果超过最大字节数,系统将会假设出现了 CRC-32
将会继续检查 SSH 流量,直至传递了未超过指定字节数的指定数量的加密数据包,或者直至超过
指定数量的数据包中指定的最大字节数。如果超过最大字节数,系统将会假设出现了 CRC-32
(SSH 版本 1)攻击或质询-响应缓冲区溢出 (SSH 版本 2)攻击。此外,还可以检测 SecureCRT
攻击、协议不匹配攻击及错误的消息传输方向。请注意,预处理器检测时无需配置任何版本字符
串值 (版本 1 和 2 除外)。
串值 (版本 1 和 2 除外)。
使用 SSH 预处理器时,请注意以下几点:
•
必须启用生成器 ID (GID) 为 128 的 SSH 预处理器规则才可生成事件。有关详情,请参见
。
•
SSH 预处理器不处理蛮力攻击。有关蛮力攻击的详细信息,请参阅
。
有关详细信息,请参阅以下各节:
•
•