Cisco Cisco Firepower Management Center 4000 User Guide
36-54
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
DCE/RPC 关键字
许可证:保护
下表中所述的三个 DCE/RPC 关键字可用于监控 DCE/RPC 会话流量的漏洞。当系统处理带有这些
关键字的规则时,会调用 DCE/RPC 预处理器。有关详情,请参见
关键字的规则时,会调用 DCE/RPC 预处理器。有关详情,请参见
。
请注意,在上表中,应始终在
dce_iface
前面加上
dce_iface
,在
dce_stub_data
前面加上
dce_iface
和
dce_opnum
。
也可以将这些 DCE/RPC 关键字与其他规则关键字结合连用。请注意,对于 DCE/RPC 规则,应使用
选择了
选择了
DCE/RPC
参数的
byte_jump
、
byte_test
和
byte_extract
关键字。有关详细信息,请参阅
思科建议在包含 DCE/RPC 关键字的规则中至少包含一个
content
关键字,以确保规则引擎使用
快速模式匹配程序,从而加快处理速度和提高性能。请注意,如果规则包含至少一个
content
关
键字,无论您是否启用
content
关键字的
Use Fast Pattern Matcher
参数,规则引擎都会使用快速模式
匹配程序。有关详细信息,请参阅
在以下情况下,可以将 DCE/RPC 版本及相邻报头信息用作匹配的内容:
•
规则不包括其他
content
关键字
•
规则包含另一个
content
关键字,但 DCE/RPC 版本及相邻信息代表比其他内容更独特的模式
例如, DCE/RPC 版本及相邻信息更有可能比内容的单个字节更加独特。
应使用以下其中一个版本及相邻信息内容匹配来终止限定规则:
•
对于面向连接的 DCE/RPC 规则,使用内容
|05 00 00|
(用于 05 主要版本、00 次要版本和请
求 PDU [协议数据单元]类型 00)。
•
对于无连接的 DCE/RPC 规则,使用内容
|04 00|
(用于 04 版本和请求 PDU 类型 00)。
在这两种情况下,都应将版本及相邻信息的
content
关键字放在规则末尾,以调用快速模式匹配
程序而不重复 DCE/RPC 预处理器已完成的处理。请注意:将
content
关键字放在规则末尾这种
做法适用于被用作调用快速模式匹配程序的手段的版本内容,对于规则中的其他内容匹配无需这
样做。
样做。
有关详细信息,请参阅以下各节:
•
•
•
表
36-38
DCE/RPC
关键字
使用......
使用方式
要检测的内容
dce_iface
独立
识别特定 DCE/RPC 服务的数据包
dce_opnum
在前面加上
dce_iface
识别特定 DCE/RPC 服务操作的数据包
dce_stub_data
在前面加上
dce_iface
和
dce_opnum
定义特定操作请求或响应的存根数据