Cisco Cisco Firepower Management Center 2000 User Guide
27-2
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 DCE/RPC 流量
•
解释如何识别和处理 SSH 加密流量中的漏洞。
•
解释如何使用 SSL 预处理器识别加密流量,以及如何通过
停止流量检查来消除误报。
•
解释如何使用 Modbus 和 DNP3 预处理器检测相应流量中
的异常,以及如何向入侵规则引擎提供数据以检查某些协议字段。
解码 DCE/RPC 流量
许可证:保护
DCE/RPC 协议使不同网络主机上的进程可以像在同一主机上一样进行通信。这些进程间通信一
般通过 TCP 和 UDP 在主机之间传输。在 TCP 传输中, DCE/RPC 也可以进一步封装在 Windows
服务器消息块 (SMB) 协议或 Samba 中;Samba 是一种在由 Windows 和类似 UNIX 或类似 Linux
操作系统组成的混合环境中用于进程间通信的开源 SMB 实现。此外,网络上的 Windows IIS网络
服务器可能使用 IIS RPC over HTTP,后者通过防火墙向代理 TCP 传输 DCE/RPC 流量提供分布式
通信。
般通过 TCP 和 UDP 在主机之间传输。在 TCP 传输中, DCE/RPC 也可以进一步封装在 Windows
服务器消息块 (SMB) 协议或 Samba 中;Samba 是一种在由 Windows 和类似 UNIX 或类似 Linux
操作系统组成的混合环境中用于进程间通信的开源 SMB 实现。此外,网络上的 Windows IIS网络
服务器可能使用 IIS RPC over HTTP,后者通过防火墙向代理 TCP 传输 DCE/RPC 流量提供分布式
通信。
请注意,对 DCE/RPC 预处理器选项和功能的说明包括 DCE/RPC 的 Microsoft 实现 (又称为
MSRPC);对 SMB 选项和功能的说明涉及 SMB 和 Samba。
MSRPC);对 SMB 选项和功能的说明涉及 SMB 和 Samba。
虽然大多数 DCE/RPC 漏洞出现在针对 DCE/RPC 服务器 (实际上可能是网络上任何主机)的
DCE/RPC 客户端请求中,但在服务器响应中也可能出现漏洞。 DCE/RPC 预处理器检测封装在
TCP、 UDP 和 SMB 传输 (包括使用版本 1 RPC over HTTP 的 TCP 传输 DCE/RPC)中的
DCE/RPC 请求和响应。此预处理器分析 DCE/RPC 数据流并检测 DCE/RPC 流量中的异常行为和
逃避技术。它还分析 SMB 数据流并检测异常 SMB 行为和逃避技术。
DCE/RPC 客户端请求中,但在服务器响应中也可能出现漏洞。 DCE/RPC 预处理器检测封装在
TCP、 UDP 和 SMB 传输 (包括使用版本 1 RPC over HTTP 的 TCP 传输 DCE/RPC)中的
DCE/RPC 请求和响应。此预处理器分析 DCE/RPC 数据流并检测 DCE/RPC 流量中的异常行为和
逃避技术。它还分析 SMB 数据流并检测异常 SMB 行为和逃避技术。
除了 IP 分片重组预处理器提供的 IP 分片重组和 TCP 数据流预处理器提供的 TCP 数据流重组外,
DCE/RPC 预处理器还可对 SMB 进行碎片整理以及对 DCE/RPC 进行分片重组。请参阅
DCE/RPC 预处理器还可对 SMB 进行碎片整理以及对 DCE/RPC 进行分片重组。请参阅
最后, DCE/RPC 预处理器会规范化 DCE/RPC 流量,以便规则引擎进行处理。有关使用特定
DCE/RPC 规则关键字检测 DCE/RPC 服务、操作和存根数据的详细信息,请参阅
DCE/RPC 规则关键字检测 DCE/RPC 服务、操作和存根数据的详细信息,请参阅
。
要配置 DCE/RPC 预处理器,可以修改控制预处理器工作方式的全局选项,并指定一个或多个基
于目标的服务器策略,从而通过 IP 地址和运行的 Windows 或 Samba 版本识别网络上的 DCE/RPC
服务器:
于目标的服务器策略,从而通过 IP 地址和运行的 Windows 或 Samba 版本识别网络上的 DCE/RPC
服务器:
必须启用生成器 ID (GID) 为 132 或 133 的 DCE/RPC 预处理器规则才可生成事件。有关详情,请
参见
参见
。
有关详细信息,请参阅以下各节:
•
•
•
•
•