Cisco Cisco Firepower Management Center 4000 User Guide
36-56
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
dce_opnum
许可证:保护
可以将
dce_opnum
关键字和 DCE/RPC 预处理器结合使用,以检测识别 DCE/RPC 服务提供的一个
或多个特定操作的数据包。
客户端功能调用请求特定服务函数(这些函数在 DCE/RPC 规范中称为操作)。操作编号 (opnum)
用于识别 DCE/RPC 报头中的特定操作。漏洞可能会针对特定操作。
用于识别 DCE/RPC 报头中的特定操作。漏洞可能会针对特定操作。
例如, UUID 12345678-1234-ABCD-ef00-01234567cffb 识别用于 netlogon 服务的接口;该服务提
供几十个不同的操作, 其中之一是操作 6, NetrServerPasswordSet 操作。
供几十个不同的操作, 其中之一是操作 6, NetrServerPasswordSet 操作。
应该在
dce_opnum
关键字前面加上
dce_iface
。
可以为特定操作指定一个 0 到 65535 之间的十进制值,可以指定一系列由连字符分隔的操作,或
者指定逗号分隔的操作和范围列表,其中的操作和范围可按任何顺序排列。
者指定逗号分隔的操作和范围列表,其中的操作和范围可按任何顺序排列。
以下任何示例都将指定有效的 netlogon 操作编号:
15
15-18
15, 18-20
15, 20-22, 17
15, 18-20, 22, 24-26
dce_stub_data
许可证:保护
可以将
dce_stub_data
关键字和 DCE/RPC 预处理器结合使用,以指定无论任何其他规则选项如
何,规则引擎都应从存根数据的开头开始检查。紧跟在
dce_stub_data
关键字后面的数据包负载
规则选项相对于存根数据缓冲区适用。
DCE/RPC 存根数据提供客户端程序调用和 DCE/RPC 运行时系统之间的接口,这种机制可提供对
于 DCE/RPC 至关重要的例程和服务。 DCE/RPC 漏洞在 DCE/RPC 数据包的存根数据部分中识别
出。由于存根数据与特定的操作或函数调用相关,因此,应始终在
于 DCE/RPC 至关重要的例程和服务。 DCE/RPC 漏洞在 DCE/RPC 数据包的存根数据部分中识别
出。由于存根数据与特定的操作或函数调用相关,因此,应始终在
dce_stub_data
前面加上
dce_iface
和
dce_opnum
,以识别相关的服务和操作。
dce_stub_data
关键字没有参数。有关详细信息,请参阅
和
。
SIP 关键字
许可证:保护
有四个 SIP 关键字可用于监控 SIP 会话流量的漏洞。
请注意, SIP 协议容易受到拒绝服务 (DoS) 攻击。基于速率的攻击防御可能对解决这类攻击的规
则有利。有关详细信息,请参阅
则有利。有关详细信息,请参阅
和
有关详细信息,请参阅以下各节:
•
•
•
•