Cisco Cisco Firepower Management Center 2000 User Guide
29-18
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
使用 TCP 数据流预处理
使用 TCP 数据流预处理
许可证:保护
TCP 协议定义连接可以处于的各种状态。每个 TCP 连接通过源 IP 地址和目标 IP 地址以及源端口
和目标端口进行识别。 TCP 一次仅允许存在一个具有相同连接参数值的连接。
和目标端口进行识别。 TCP 一次仅允许存在一个具有相同连接参数值的连接。
请注意,如果您希望 TCP 数据流预处理器规则生成事件,则必须启用这些规则,其生成器 ID
(GID) 为 129。有关详细信息,请参阅
(GID) 为 129。有关详细信息,请参阅
。
有关详细信息,请参阅以下各节:
•
•
•
•
•
•
•
了解与状态相关的 TCP 漏洞
许可证:保护
如果向入侵规则添加带有
established
参数的
flow
关键字,则入侵规则引擎会在状态模式下检查
与规则和流指令匹配的数据包。状态模式仅评估通过客户端与服务器之间的合法三次握手建立的
TCP 会话所包含的流量。下图说明三次握手。
TCP 会话所包含的流量。下图说明三次握手。
您可以配置系统,以便预处理器对无法识别为已建立的 TCP 会话的一部分的任何 TCP 流量进行检
测;但是,对于典型使用不建议此操作,因为事件会使系统迅速过载且不会提供有意义的数据。
测;但是,对于典型使用不建议此操作,因为事件会使系统迅速过载且不会提供有意义的数据。
stick 和 snot 之类的攻击使用系统的广泛的规则集和数据包检测自身。这些工具根据基于 Snort 的
入侵规则生成数据包,并通过网络发送这些数据包。如果您的规则不包括用于为状态检查配置规
则的
入侵规则生成数据包,并通过网络发送这些数据包。如果您的规则不包括用于为状态检查配置规
则的
flow
或
flowbits
关键字,则每个数据包将触发规则,进而导致系统过载。您可以通过状态
检查来忽略这些数据包,因为它们不是已建立的 TCP 会话的一部分,而且不提供有意义的信息。
执行状态检查时,规则引擎仅检测属于已建立的 TCP 会话的一部分的那些攻击,从而使分析人员
关注这些攻击而不是由 stick 或 snot 攻击导致的事件量。
执行状态检查时,规则引擎仅检测属于已建立的 TCP 会话的一部分的那些攻击,从而使分析人员
关注这些攻击而不是由 stick 或 snot 攻击导致的事件量。