Cisco Cisco Firepower Management Center 2000 User Guide
27-44
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
配置 GTP 命令通道
配置 GTP 命令通道
许可证:保护
通用分组无线业务 (GPRS) 隧道协议 (GTP) 实现通过 GTP 核心网络进行通信。GTP 预处理器检测
GTP 流量中的异常,并将命令通道信令消息转发给规则引擎进行检查。可以使用
GTP 流量中的异常,并将命令通道信令消息转发给规则引擎进行检查。可以使用
gtp_version
、
gtp_type
和
gtp_info
规则关键字检查 GTP 命令通道流量中是否存在漏洞。
单一配置选项允许为预处理器进行 GTP 命令通道消息检查的端口修改默认设置。
如果要下表中所列的 GTP 预处理器规则生成事件,必须启用它们。有关启用规则的详细信息,请
参阅
参阅
。
可以按照以下步骤修改 GTP 预处理器为其监控 GTP 命令消息的端口。
140:10
如果 To 报头字段在 SIP 请求或响应中为空,将会生成事件。
140:12
如果 Via 报头字段在 SIP 请求或响应中为空,将会生成事件。
140:14
如果必填的 Contact 报头字段在 SIP 请求或响应中为空,将会生成事件。
140:17
如果 UDP 流量中的单个 SIP 请求或响应数据包包含多条消息,将会生成事件。请
注意,旧版本 SIP 支持多条消息,但 SIP 2.0 仅在每个数据包中支持一条消息。
注意,旧版本 SIP 支持多条消息,但 SIP 2.0 仅在每个数据包中支持一条消息。
140:18
如果 UDP 流量中的 SIP 请求或响应中消息正文的实际长度与 SIP 请求或响应中
的 Content-Length 报头字段中指定的值不匹配时,将会生成事件。
的 Content-Length 报头字段中指定的值不匹配时,将会生成事件。
140:19
如果预处理器无法识别 SIP 响应的 CSeq 字段中的方法名称,将会生成事件。
140:20
如果 SIP 服务器不质询经过身份验证的邀请消息,将会生成事件。请注意,当
有 InviteReplay 计费攻击时,会出现这种情况。
有 InviteReplay 计费攻击时,会出现这种情况。
140:21
如果会话信息在建立呼叫前发生变化,将会生成事件。请注意,当有 FakeBusy
计费攻击时,会出现这种情况。
计费攻击时,会出现这种情况。
140:22
如果响应状态代码不是一个三位数字,将会生成事件。
140:23
如果 Content-Type 报头字段未指定内容类型且消息正文包含数据,将会生成事件。
140:24
如果 SIP 版本不是 1、 1.1 或 2.0,将会生成事件。
140:25
如果 CSeq 报头字段中指定的方法与 SIP 请求中的 method 字段不匹配,将会生
成事件。
成事件。
140:26
如果预处理器无法识别在 SIP 请求方法字段中命名的方法,将会生成事件。
表
27-10
其他
SIP
预处理器规则 (续)
预处理器规则
GID:SID
GID:SID
说明
表
27-11
GTP
预处理器规则
预处理器规则
GID:SID
GID:SID
说明
143:1
如果预处理器检测到无效的消息长度,将会生成事件。
143:2
如果预处理器检测到无效的信息元素长度,将会生成事件。
143:3
如果预处理器检测到无序的信息元素,将会生成事件。