Cisco Cisco Firepower Management Center 2000 User Guide

27-59

FireSIGHT 系统用户指南

第 27 章使用应用层预处理器

使用 SSH 预处理器检测攻击

Number of Encrypted Packets to Inspect

指定每个会话待检查的加密数据包的数量。

将此选项设置为 0 将允许所有流量通过。

减少待检查的加密数据包的数量可能会导致一些攻击避开检测。增加待检查的加密数据包的
数量可能会对性能造成负面影响。

Number of Bytes Sent Without Server Response

指定在假设存在质询-响应缓冲区溢出或 CRC-32 攻击之前， SSH 客户端在未获得响应的情况
下可以向服务器发送的最大字节数。

如果预处理器对于质询-响应缓冲区溢出或 CRC-32 攻击生成误报，请增加此选项的值。

Maximum Length of Protocol Version String

指定在假设存在 SecureCRT 攻击之前，服务器版本字符串中允许的最大字节数。

Detect Challenge-Response Buffer Overflow Attack

启用或禁用质询-响应缓冲区溢出攻击检测。

可以启用规则 128:1 为此选项生成事件。有关详情，请参见

。

Detect SSH1 CRC-32 Attack

启用或禁用 CRC-32 攻击检测。

可以启用规则 128:2 为此选项生成事件。有关详情，请参见

。

Detect Server Overflow

启用或禁用 SecureCRT SSH 客户端缓冲区溢出攻击检测。

可以启用规则 128:3 为此选项生成事件。有关详情，请参见

。

Detect Protocol Mismatch

启用或禁用协议不匹配检测。

可以启用规则 128:4 为此选项生成事件。有关详情，请参见

。

Detect Bad Message Direction

允许或禁止检测流量传输方向错误这种情况（即，如果假定的服务器生成客户端流量，或者
客户端生成服务器流量）。

可以启用规则 128:5 为此选项生成事件。有关详情，请参见

。

Detect Payload Size Incorrect for the Given Payload

允许或禁止检测负载大小不正确的数据包，例如， SSH 数据包中指定的长度与 IP 报头中指定
的总长度不一致，或者消息被截断（即，无足够的数据用于整个 SSH 报头）。

可以启用规则 128:6 为此选项生成事件。有关详情，请参见

。

Detect Bad Version String

请注意，启用预处理器后，它在检测时无需配置任何版本字符串（版本 1 和 2 除外）。

可以启用规则 128:7 为此选项生成事件。有关详情，请参见

。