Cisco Cisco Firepower Management Center 2000 User Guide
29-15
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
了解数据包解码
检测非标准端口上的 Terado
检查除端口 3544 以外的其他 UDP 端口上识别的 IPv6 流量的 Teredo 隧道。
系统始终检查存在的 IPv6 流量。默认情况下,IPv6 检查包括 4in6、6in4、6to4 和 6in6 隧道方
案,如果 UDP 报头指定端口 3544,还包括 Teredo 隧道。
案,如果 UDP 报头指定端口 3544,还包括 Teredo 隧道。
在 IPv4 网络中,IPv4 主机可以使用 Teredo 协议通过 IPv4 网络地址转换 (NAT) 设备传输 IPv6
流量。 Teredo 将 IPv6 数据包封装在 IPv4 UDP 数据报中,以允许在 IPv4 NAT 设备后面进行
IPv6 连接。系统通常使用 UDP 端口 3544 识别 Teredo 流量。但是,攻击者可能会使用非标准
端口来尝试避开检测。您可以启用
流量。 Teredo 将 IPv6 数据包封装在 IPv4 UDP 数据报中,以允许在 IPv4 NAT 设备后面进行
IPv6 连接。系统通常使用 UDP 端口 3544 识别 Teredo 流量。但是,攻击者可能会使用非标准
端口来尝试避开检测。您可以启用
Detect Teredo on Non-Standard Ports
来促使系统检查 Teredo 隧
道的所有 UDP 负载。
Teredo 解码仅发生在第一个 UDP 报头上,并且仅当 IPv4 用于外部网络层时才会发生。如果
由于 IPv6 数据中封装的 UDP 数据而在 Teredo IPv6 层之后出现第二个 UDP 层,则规则引擎
会使用 UDP 入侵规则对内部和外部 UDP 层均进行分析。
由于 IPv6 数据中封装的 UDP 数据而在 Teredo IPv6 层之后出现第二个 UDP 层,则规则引擎
会使用 UDP 入侵规则对内部和外部 UDP 层均进行分析。
请注意,
policy-other
规则类别中的入侵规则 12065、12066、12067 和 12068 会检测 Teredo 流量,
但不对这些流量进行解码。您可以根据需要在内联部署中使用这些规则丢弃 Teredo 流量;但
是,启用
是,启用
Detect Teredo on Non-Standard Ports
时,应确保这些规则处于禁用状态或者设置为生成事
件而不丢弃流量。有关详细信息,请参阅
。
检测过大长度值
在数据包报头指定的数据包长度大于实际数据包长度时进行检测。
您可以启用规则 116:6、 116:47、 116:97 和 116:275 来生成此选项的事件。
检测无效 IP 选项
检测无效 IP 报头选项以识别使用无效 IP 选项的漏洞。例如,存在针对防火墙的拒绝服务攻
击,该攻击导致系统冻结。防火墙尝试解析无效的 Timestamp 和 Security IP 选项且未能检查
到零长度,导致无法恢复的无限循环。规则引擎会识别零长度选项并提供可用于缓解对防火
墙的攻击的信息。
击,该攻击导致系统冻结。防火墙尝试解析无效的 Timestamp 和 Security IP 选项且未能检查
到零长度,导致无法恢复的无限循环。规则引擎会识别零长度选项并提供可用于缓解对防火
墙的攻击的信息。
您可以启用规则 116:4 和 116:5 来生成此选项的事件。有关详细信息,请参阅
。
检测试验性 TCP 选项
检测具有试验性 TCP 选项的 TCP 报头。下表介绍了这些选项。
TCP 选项
说明
9
允许的偏序连接
10
偏序服务配置文件
14
替代校验和请求
15
替代校验和数据
18
尾部校验和
20
空间通信协议标准 (SCPS)
21
选择性否定确认 (SCPS)
22
记录边界 (SCPS)