Cisco Cisco Firepower Management Center 2000 User Guide
27-6
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 DCE/RPC 流量
下图说明了 DCE/RPC 预处理器开始为不同传输处理 DCE/RPC 流量的点。
对于上图,请注意以下几点:
•
已知 TCP 或 UDP 端口 135 识别 TCP 和 UDP 传输中的 DCE/RPC 流量。
•
图中未包含 RPC over HTTP。
对于 RPC over HTTP,面向连接 DCE/RPC 在完成 HTTP 初始设置序列后直接通过 TCP 传输
(如图所示)。有关详情,请参见
•
DCE/RPC 预处理器通常接收适用于 NetBIOS 会话服务的已知 TCP 端口 139 或以类似方式实
现的已知 Windows 端口 445 上的 SMB 流量。
现的已知 Windows 端口 445 上的 SMB 流量。
由于 SMB 具有除传输 DCE/RPC 以外的许多功能,因此,预处理器会首先测试 SMB 流量是
否正在传输 DCE/RPC 流量,如果不是,预处理器会停止处理,如果是,则继续进行处理。
否正在传输 DCE/RPC 流量,如果不是,预处理器会停止处理,如果是,则继续进行处理。
•
IP 封装所有 DCE/RPC 传输。
•
TCP 传输所有面向连接 DCE/RPC。
•
UDP 传输无连接 DCE/RPC。
了解 RPC over HTTP 传输
许可证:保护
借助 Microsoft RPC over HTTP,可以引导 DCE/RPC 流量穿过防火墙,如下图所示。DCE/RPC 预
处理器检测版本 1 Microsoft RPC over HTTP。
处理器检测版本 1 Microsoft RPC over HTTP。