Cisco Cisco Firepower Management Center 4000 User Guide
36-75
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
为
fragoffset
关键字指定参数时,可以使用以下运算符。
请注意,不能将 not (
!
) 运算符与
<
或
>
结合使用。
cvs
许可证:保护
cvs
关键字测试并发版本系统 (CVS) 流量中是否存在格式不正确的 CVS 条目。攻击者可以使用格
式不正确的条目来强制堆溢出,并且在 CVS 服务器上执行恶意代码。此关键字可用于识别针对
两种已知 CVS 漏洞的攻击:CVE-2004-0396 (CVS1.11.x 至 1.11.15,以及 CVS1.12.x 至 1.12.7)
和 CVS-2004-0414(CVS1.12.x 至 1.12.8,以及 CVS1.11.x 至 1.11.16)。
两种已知 CVS 漏洞的攻击:CVE-2004-0396 (CVS1.11.x 至 1.11.15,以及 CVS1.12.x 至 1.12.7)
和 CVS-2004-0414(CVS1.12.x 至 1.12.8,以及 CVS1.11.x 至 1.11.16)。
cvs
关键字检查格式正确
的记录,如果检测到格式不正确的条目,将会发出警报。
规则应包含 CVS 运行所在的端口。此外,应将任何可能出现流量的端口添加到 TCP 策略的数据
流重组端口列表,以便为 CVS 会话维护状态。 TCP 端口 2401 (
流重组端口列表,以便为 CVS 会话维护状态。 TCP 端口 2401 (
pserver
) 和 514 (
rsh
) 包含在出现
数据流重组的客户端端口列表中。但请注意,如果服务器作为
xinetd
服务器 (即, pserver)运
行,它可以在任何 TCP 端口上运行。应将任何非标准端口添加到数据流重组
Client Ports
列表中。
有关详细信息,请参阅
。
要检测格式不正确的 CVS 条目,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
将
cvs
选项作为关键字参数添加到规则和类型
invalid-entry
。
将数据包数据读取到关键字参数中
许可证:保护
可以使用
byte_extract
将数据包中指定数量的字节读取到某个变量中。然后,可以在同一规则中
使用该变量作为某些其他检测关键字中特定参数的值。
此参数很有用,例如,可用于从其中的特定字节段描述数据包数据所包含的字节数的数据包提取
数据大小。例如,特定字节段可能指出后续数据是由 4 个字节组成;您可以提取 4 个字节的数据
大小来作为变量值。
数据大小。例如,特定字节段可能指出后续数据是由 4 个字节组成;您可以提取 4 个字节的数据
大小来作为变量值。
可以使用
byte_extract
在规则中最多同时创建两个独立的变量。可以任意多次地重新定义
byte_extract
变量;如果输入变量名称相同但变量定义不同的新的
byte_extract
关键字,将会覆
盖该变量的上一个定义。
表
36-46
fragoffset
关键字参数运算符
运算符
说明
!
不会
>
大于
<
小于