Cisco Cisco Firepower Management Center 4000 User Guide

36-54

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

DCE/RPC 关键字

许可证：保护

下表中所述的三个 DCE/RPC 关键字可用于监控 DCE/RPC 会话流量的漏洞。当系统处理带有这些
关键字的规则时，会调用 DCE/RPC 预处理器。有关详情，请参见

。

请注意，在上表中，应始终在 

dce_iface

 前面加上 

dce_iface

，在 

dce_stub_data

 前面加上 

dce_iface

 和 

dce_opnum

。

也可以将这些 DCE/RPC 关键字与其他规则关键字结合连用。请注意，对于 DCE/RPC 规则，应使用
选择了 

 参数的 

byte_jump

、

byte_test

 和 

byte_extract

 关键字。有关详细信息，请参阅

 和

思科建议在包含 DCE/RPC 关键字的规则中至少包含一个 

content

 关键字，以确保规则引擎使用

快速模式匹配程序，从而加快处理速度和提高性能。请注意，如果规则包含至少一个 

content

 关

键字，无论您是否启用 

content

 关键字的 

 参数，规则引擎都会使用快速模式

匹配程序。有关详细信息，请参阅

在以下情况下，可以将 DCE/RPC 版本及相邻报头信息用作匹配的内容：

规则不包括其他 

content

 关键字

规则包含另一个 

content

 关键字，但 DCE/RPC 版本及相邻信息代表比其他内容更独特的模式

例如， DCE/RPC 版本及相邻信息更有可能比内容的单个字节更加独特。

应使用以下其中一个版本及相邻信息内容匹配来终止限定规则：

对于面向连接的 DCE/RPC 规则，使用内容 

|05 00 00|

（用于 05 主要版本、00 次要版本和请

求 PDU [协议数据单元]类型 00）。

对于无连接的 DCE/RPC 规则，使用内容 

|04 00|

（用于 04 版本和请求 PDU 类型 00）。

在这两种情况下，都应将版本及相邻信息的 

content

 关键字放在规则末尾，以调用快速模式匹配

程序而不重复 DCE/RPC 预处理器已完成的处理。请注意：将 

content 

关键字放在规则末尾这种

做法适用于被用作调用快速模式匹配程序的手段的版本内容，对于规则中的其他内容匹配无需这
样做。

有关详细信息，请参阅以下各节：

表 

关键字 

使用......

使用方式

要检测的内容

dce_iface

独立

识别特定 DCE/RPC 服务的数据包

dce_opnum

在前面加上 

dce_iface

识别特定 DCE/RPC 服务操作的数据包

dce_stub_data

在前面加上 

dce_iface

 

和 

dce_opnum

定义特定操作请求或响应的存根数据