Cisco Cisco Firepower Management Center 2000 User Guide
36-55
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
dce_iface
许可证:保护
可以使用
dce_iface
关键字识别特定 DCE/RPC 服务。
此外,还可以将
dce_iface
与
dce_opnum
和
dce_stub_data
关键字结合使用,以进一步限制要检查
的 DCE/RPC 流量。有关详细信息,请参阅
和
。
固定的 16 字节通用唯一标识符 (UUID) 用于识别分配给每个 DCE/RPC 服务的应用接口。例如,
UUID 4b324fc8-670-01d3-1278-5a47bf6ee188 识别 DCE/RPC lanmanserver 服务(又称为 srvsvc 服
务),该服务提供大量用于共享对等网络打印机、文件和 SMB 命名管道的管理功能。 DCE/RPC
预处理器使用 UUID 及相关报头值来跟踪 DCE/RPC 会话。
UUID 4b324fc8-670-01d3-1278-5a47bf6ee188 识别 DCE/RPC lanmanserver 服务(又称为 srvsvc 服
务),该服务提供大量用于共享对等网络打印机、文件和 SMB 命名管道的管理功能。 DCE/RPC
预处理器使用 UUID 及相关报头值来跟踪 DCE/RPC 会话。
接口 UUID 是由 5 个十六进制字符串 (字符串之间用连字符分隔)组成:
<4hexbytes>-<2hexbytes>-<2hexbytes>-<2hexbytes>-<6hexbytes>
可以通过输入整个 UUID (包括连字符)来指定接口,如以下用于 netlogon 接口的 UUID 中所示:
12345678-1234-abcd-ef00-01234567cffb
请注意,必须以大端字节顺序指定 UUID 中的前三个字符串。尽管发布的接口列表和协议分析工
具通常以正确的字节顺序显示 UUID,但您可能需要在输入前重新排列 UUID 字节顺序。考虑以
下所示的信使服务 UUID,在原始 ASCII 文本中,该 UUID 的前三个字符串有时可能会以小端字
节顺序显示:
具通常以正确的字节顺序显示 UUID,但您可能需要在输入前重新排列 UUID 字节顺序。考虑以
下所示的信使服务 UUID,在原始 ASCII 文本中,该 UUID 的前三个字符串有时可能会以小端字
节顺序显示:
f8 91 7b 5a 00 ff d0 11 a9 b2 00 c0 4f b6 e6 fc
可以为
dce_iface
关键字指定这个 UUID,方法是,插入连字符,并以大端字节顺序放置前三个
字符串,如下所示:
5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc
尽管一个 DCE/RPC 会话可能包含发向多个接口的请求,但在一个规则中只能包含一个
dce_iface
关键字。可创建其他规则来检测其他接口。
DCE/RPC 应用接口也有接口版本号。或者,可以指定带有运算符的接口版本,用该操作符指明
版本是等于、不等于、小于还是大于指定值。
版本是等于、不等于、小于还是大于指定值。
除了 TCP 分段或 IP 分片外,还可以对面向连接和无连接的 DCE/RPC 进行分片。通常,将任何
DCE/RPC 分片 (第一个除外)与指定接口相关联没有任何作用,而且这样做可能导致大量误
报。但是,为了提高灵活性,可以根据指定接口对所有分片进行评估。
DCE/RPC 分片 (第一个除外)与指定接口相关联没有任何作用,而且这样做可能导致大量误
报。但是,为了提高灵活性,可以根据指定接口对所有分片进行评估。
下表总结了
dce_iface
关键字参数。
表
36-39
dce_iface
参数
参数
说明
Interface UUID UUID (包括连字符),用于识别要在 DCE/RPC 流量中检测的特定服务的应用
接口。与指定接口相关的任何请求将匹配接口 UUID。
版本
或者,可以选择应用接口版本号 0 到 65535 和一个操作符,以指明是否检测大
于 (>)、小于 (<)、等于 (=) 或不等于 (!) 指定值的版本。
于 (>)、小于 (<)、等于 (=) 或不等于 (!) 指定值的版本。
All Fragments
或者,可以选择匹配与 DCE/RPC 分片相关的所有接口和 (如有指定)接口版
本。默认情况下,此参数被禁用,表示关键字仅在第一个分片或整个未分片数
据包与指定接口相关时才进行匹配。请注意,启用此参数可能会导致误报。
本。默认情况下,此参数被禁用,表示关键字仅在第一个分片或整个未分片数
据包与指定接口相关时才进行匹配。请注意,启用此参数可能会导致误报。