Cisco Cisco Firepower Management Center 4000 User Guide
29-19
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
使用 TCP 数据流预处理
选择 TCP 全局选项
许可证:保护
TCP 数据流预处理器有一个控制 TCP 数据流预处理器如何发挥功能的全局选项。
没有预处理器规则与此选项关联。
Packet Type Performance Boost
支持忽略已启用规则中未指定的所有端口和应用协议的 TCP 流量,但在源端口和目标端口均
设置为
设置为
any
的 TCP 规则具有
flow
或
flowbits
选项时除外。这种性能改进可能会导致未能检测
出某些攻击。
了解基于目标的 TCP 策略
许可证:保护
不同操作系统以不同方法实施 TCP。例如, Windows 和其他一些操作系统需要 TCP 重置段以具有
精确的 TCP 序列号来重置会话,而 Linux 和其他操作系统则允许使用一系列序列号。在本示例中,
数据流预处理器必须明确了解目标主机会如何根据序列号对重置作出响应。仅当目标主机认为重置
有效时,数据流预处理器才会停止跟踪会话,因此,攻击在预处理器停止检查数据流后无法通过发
送数据包来躲避检测。在 TCP 实施中的其他变化包括操作系统是否采用 TCP 时间戳选项,并且在
采用时如何处理时时间戳,以及操作系统接受还是忽略 SYN 数据包中的数据等等方面。
精确的 TCP 序列号来重置会话,而 Linux 和其他操作系统则允许使用一系列序列号。在本示例中,
数据流预处理器必须明确了解目标主机会如何根据序列号对重置作出响应。仅当目标主机认为重置
有效时,数据流预处理器才会停止跟踪会话,因此,攻击在预处理器停止检查数据流后无法通过发
送数据包来躲避检测。在 TCP 实施中的其他变化包括操作系统是否采用 TCP 时间戳选项,并且在
采用时如何处理时时间戳,以及操作系统接受还是忽略 SYN 数据包中的数据等等方面。
不同操作系统也以不同方式重组重叠的 TCP 数据段。重叠的 TCP 数据段可能会反映未确认的 TCP
流量的正常重传。它们也可能表示攻击者 (了解其中一个主机的操作系统)尝试通过发送隐藏在
重叠数据段中的恶意内容来躲避检测并利用该主机。但是,您可以将数据流预处理器配置为可感知
受监控网段上运行的操作系统,使其以与目标主机相同的方式重组数据段,从而识别攻击。
流量的正常重传。它们也可能表示攻击者 (了解其中一个主机的操作系统)尝试通过发送隐藏在
重叠数据段中的恶意内容来躲避检测并利用该主机。但是,您可以将数据流预处理器配置为可感知
受监控网段上运行的操作系统,使其以与目标主机相同的方式重组数据段,从而识别攻击。
您可以创建一个或多个 TCP 策略,以根据受监控网段上的不同操作系统定制 TCP 数据流检查和
重组。对于每个策略,可识别 13 个操作系统策略之一。您根据需要使用尽可能多的 TCP 策略将
每个 TCP 策略绑定到特定 IP 地址或地址块,以识别使用其他操作系统的任意或所有主机。默认
TCP 策略适用于在任何其他 TCP 策略中未识别的受监控网络上的任何主机,因此无需为默认
TCP 策略指定 IP 地址、 CIDR 块或前缀长度。
重组。对于每个策略,可识别 13 个操作系统策略之一。您根据需要使用尽可能多的 TCP 策略将
每个 TCP 策略绑定到特定 IP 地址或地址块,以识别使用其他操作系统的任意或所有主机。默认
TCP 策略适用于在任何其他 TCP 策略中未识别的受监控网络上的任何主机,因此无需为默认
TCP 策略指定 IP 地址、 CIDR 块或前缀长度。
请注意,您也可以使用自适应配置文件,通过数据包中目标主机的主机操作系统信息来为 TCP 数
据流预处理器动态选择基于目标的策略。有关详细信息,请参阅
据流预处理器动态选择基于目标的策略。有关详细信息,请参阅
。
下表列出了操作系统策略以及使用每个策略的主机操作系统。
表
29-2
TCP
操作系统策略
策略
操作系统
首页
未知 OS
Last
Cisco IOS
BSD
AIX
FreeBSD
OpenBSD
Linux
Linux 2.4 内核
Linux 2.6 内核
旧 Linux
Linux 2.2 及更低版本的内核