Cisco Cisco Firepower Management Center 4000 User Guide

36-50

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

从会话提取 SSL 信息

许可证：保护

可以使用 SSL 规则关键字调用安全套接字层 (SSL) 预处理器，并从加密会话中的数据包提取有关 
SSL 版本和会话状态的信息。

客户机和服务器进行通信以使用 SSL 或安全传输层 (TLS) 建立加密会话时，它们之间会交换握手
消息。虽然在会话中传输的数据是加密的，但握手消息没有加密。

SSL 预处理器从特定握手字段提取状态和版本信息。握手中的两个字段分别指明用于加密会话的 
SSL 或 TLS 版本以及握手的阶段。

有关详细信息，请参阅以下各节：

许可证：保护

ssl_state

 关键字可用于匹配加密会话的状态信息。要同时检查所用的两个或更多 SSL 版本，请

在规则中使用多个 

ssl_version

 关键字。

如果规则使用 

ssl_state

 关键字，规则引擎将调用 SSL 预处理器来检查流量的 SSL 状态信息。

例如，要检测是否有攻击者试图通过发送具有超长长度和过量数据的 

ClientHello

 消息来造成服务

器缓冲区溢出，可以使用带有 

client_hello

 参数的 

ssl_state

 关键字，然后检查异常大的数据包。

可使用逗号分隔列表为 SSL 状态指定多个参数。如果列出多个参数，系统将使用 OR 运算符对这
些参数进行评估。例如，如果指定 

client_hello

 和 

server_hello

 作为参数，系统将会根据带有 

client_hello

 或 

server_hello

 的流量对规则进行评估。

还可以否定任何参数；例如：

!client_hello, !unknown

为确保连接已达到状态集中的每种状态，应使用具有 ssl_state 规则选项的多个规则。

ssl_state

 

关键字将以下标识符作为参数：

表 

ssl_state

参数 

参数

目的

client_hello

当客户端请求加密会话时，匹配消息类型为 

ClientHello

 的握手消息。

server_hello

当服务器响应客户端的加密会话请求时，匹配消息类型为 

ServerHello

 的握手

消息。

client_keyx

当客户端向服务器发出密钥以确认收到来自服务器的密钥时，匹配消息类型为 

ClientKeyExchange

 的握手消息。

server_keyx

当客户端向服务器发出密钥以确认收到来自服务器的密钥时，匹配消息类型为 

ServerKeyExchange

 的握手消息。

unknown

匹配任何握手消息类型。