Cisco Cisco Firepower Management Center 2000 User Guide
36-52
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
要为
rpc
关键字指定参数,请使用以下语法:
application,procedure,version
其中,
application
是 RPC 应用编号,
procedure
是 RPC 程序编号,
version
是 RPC 版本号。必
须为
rpc
关键字指定所有参数 - 如果不能够指定某一参数,应以星号 (
*
) 代替。
例如,要搜索具有任意程序或版本的 RPC 端口映射程序 (以数字 100000 表示的 RPC 应用),可
使用
使用
100000,*,*
作为参数。
ASN.1
许可证:保护
asn1
关键字使您可以解码整个或部分数据包,以查找各种恶意编码。
下表介绍了
asn1
关键字的参数。
例如, Microsoft ASN.1 库中存在一个会造成缓冲区溢出的已知漏洞,使得攻击者能够利用包含特
制的身份验证数据包的条件。当系统解码 ASN.1 数据时,数据包中的攻击代码可以在具有系统级
别权限的主机上执行,或可能导致 DoS 条件。以下规则使用
制的身份验证数据包的条件。当系统解码 ASN.1 数据时,数据包中的攻击代码可以在具有系统级
别权限的主机上执行,或可能导致 DoS 条件。以下规则使用
asn1
关键字检测试图利用此漏洞的
行为:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445
(flow:to_server, established; content:”|FF|SMB|73|”; nocase;
offset:4; depth:5;
asn1:bitstring_overflow,double_overflow,oversize_length
100,relative_offset 54;)
表
36-36
rpc
关键字参数
参数
说明
application
RPC 应用编号
procedure
调用的 RPC 程序
version
RPC 版本
表
36-37
asn.1
关键字参数
参数
说明
Bitstring Overflow 检测可远程攻击的无效位串编码。
Double Overflow
检测大于标准缓冲区的双 ASCII 编码。这是 Microsoft Windows 中的一个已
知漏洞,但目前不知道哪些服务可能会被利用。
知漏洞,但目前不知道哪些服务可能会被利用。
Oversize Length
检测长度大于提供的参数的 ASN.1 类型。例如,如果将 Oversize Length 设
置为 500,任何大于 500 的 ASN.1 类型都会触发规则。
置为 500,任何大于 500 的 ASN.1 类型都会触发规则。
Absolute Offset
设置从数据包负载起点算起的绝对偏移量。(请记住,偏移量计数器从字节
0 开始计算。)例如,如果要解码 SNMP 数据包,请将 Absolute Offset 设置
为 0,但不设置 Relative Offset。 Absolute Offset 可以是正数或负数。
0 开始计算。)例如,如果要解码 SNMP 数据包,请将 Absolute Offset 设置
为 0,但不设置 Relative Offset。 Absolute Offset 可以是正数或负数。
Relative Offset
从上一次成功内容匹配、
pcre
或
byte_jump
算起的相对偏移量。要解码紧接
在内容“foo”后的 ASN.1 序列,请将 Relative Offset 设置为 0,但不设置
Absolute Offset。 Relative Offset 可以是正数或负数。(请记住,偏移量计数
器从字节 0 开始计算。)
Absolute Offset。 Relative Offset 可以是正数或负数。(请记住,偏移量计数
器从字节 0 开始计算。)