文件传输上下文
这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。您可以在 IDP 策略规则中将文件传输协议的攻击对象和组配置为匹配条件。
服务上下文:FTP
下表显示了 FTP 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
ftp 帐户 (CTS) |
匹配 FTP 登录帐户名。 |
|||
ftp 横幅 (STC) |
匹配服务器在 FTP 会话开始时返回的横幅。  |
|||
ftp 命令 (CTS) |
匹配每个 FTP 命令名称。  |
|||
ftp-cwd-路径名 (CTS) |
匹配 FTP 会话的 CWD 命令中的目录名称。  |
|||
ftp-dele-pathname (CTS) |
匹配 FTP 会话的 DELE 命令中的文件名。  |
|||
ftp-get-filename (CTS) |
匹配 FTP 会话的 GET 命令中的文件名。  |
|||
ftp 列表路径名 (CTS) |
匹配 FTP 会话的 LIST 命令中的目录或文件名。  |
|||
ftp-mkd-pathname (CTS) |
匹配 FTP 会话的 MKD 命令中的目录名称。  |
|||
ftp-nlst-pathname (CTS) |
匹配 FTP 会话的 NLST 命令中的目录或文件名。 |
|||
ftp 密码 (CTS) |
匹配 FTP 登录密码。  |
|||
ftp 路径名 (CTS) |
匹配任何 FTP 命令中的目录或文件名。  |
|||
ftp-put-filename (CTS) |
匹配 FTP 会话的 PUT 命令中的文件名。  |
|||
ftp-reply-100-line (STC) |
匹配 FTP 1yz Positive Preliminary 回复。  |
|||
ftp-reply-200-line (STC) |
匹配 FTP 2yz Positive Completion 回复。  |
|||
ftp-reply-300-line (STC) |
匹配 FTP 3yz 正中间回复。  |
|||
ftp-reply-400-line (STC) |
匹配 FTP 4yz 瞬时否定补全回复。 |
|||
ftp-reply-500-line (STC) |
匹配 FTP 5yz 永久负完成回复。  |
|||
ftp 回复行 (STC) |
匹配 FTP 回复行。  |
|||
ftp 请求 (CTS) |
匹配 FTP 请求行(命令和参数)。  |
|||
ftp-rmd-路径名 (CTS) |
匹配 FTP 会话的 RMD 命令中的目录名称。  |
|||
ftp-rnfr-路径名 (CTS) |
匹配 FTP 会话的 RNFR 命令中的目录或文件名。  |
|||
ftp-rnto-pathname (CTS) |
匹配 FTP 会话的 RNTO 命令中的目录或文件名。  |
|||
ftp 站点字符串 (CTS) |
匹配 FTP 会话中 SITE 命令的参数。  |
|||
ftp-smnt-pathname (CTS) |
匹配 FTP 会话的 SMNT 命令中的目录或文件名。 |
|||
ftp-stat-pathname (CTS) |
匹配 FTP 会话的 STAT 命令中的目录或文件名。 |
|||
ftp 用户名 (CTS) |
匹配 FTP 登录用户名。  |
|||
服务上下文:NFS
下表显示了 NFS 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
nfs-create-name (CTS) |
匹配 CREATE 过程中文件或目录的名称。  |
|||
nfs-dir-entry (STC) |
匹配 READDIR 过程返回的每个目录条目的名称。 |
|||
nfs-link-target (CTS) |
匹配 LINK 过程中硬链接的名称。 |
|||
nfs 查找名称 (CTS) |
匹配 LOOKUP 过程中文件或目录的名称。  |
|||
nfs-mkdir-name (CTS) |
匹配 MKDIR 过程中的目录名称。 |
|||
nfs-mknod-name (CTS) |
匹配 MKNOD 过程中特殊文件的名称。 |
|||
nfs-readlink-name (STC) |
与 READLINK 过程返回的名称匹配 |
|||
nfs-remove-name (CTS) |
匹配 REMOVE 过程中文件的名称。 |
|||
nfs-rename-from (CTS) |
匹配 RENAME 过程中的源文件或目录名称。 |
|||
nfs-重命名 (CTS) |
匹配 RENAME 过程中的目标文件或目录名称。 |
|||
nfs-rmdir-name (CTS) |
匹配 RMDIR 过程中的目录名称。 |
|||
nfs-符号链接源 (CTS) |
匹配 SYMLINK 过程中符号链接的来源。 |
|||
nfs-符号链接-target (CTS) |
匹配 SYMLINK 过程中符号链接的目标。 |
|||
服务环境:SMB
下表显示了 SMB 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
smb-account-name(任何) |
匹配 SMB 会话的SESSION_SETUP_ANDX请求中的 SMB 帐户名称。  |
|||
smb-atsvc-请求 (CTS) |
匹配通过 SMB 传输层作为命名管道事务发送的任何 AT 服务请求。此上下文的前 2 个字节包含函数的作码。  |
|||
smb-atsvc 响应 (STC) |
匹配通过 SMB 传输层作为命名管道事务接收的任何 AT 服务响应。此上下文的前 2 个字节包含函数的作码。  |
|||
smb-browser-request (CTS) |
匹配通过 SMB 传输层作为命名管道事务发送的任何浏览器请求。此上下文的前 2 个字节包含函数的作码。 |
|||
smb-browser-response (STC) |
匹配通过 SMB 传输层作为命名管道事务接收的任何浏览器响应。此上下文的前两个字节包含函数的作码。 |
|||
smb-called-name (ANY) |
匹配 SMB 会话发起方的 NetBIOS 名称。 |
|||
smb-calling-name(任何) |
匹配 SMB 会话接收方的 NetBIOS 名称。  |
|||
smb-connect-path (CTS) |
匹配 SMB 会话的TREE_CONNECT_ANDX请求中的连接路径。  |
|||
smb-connect-service (CTS) |
匹配 SMB 会话的TREE_CONNECT_ANDX请求中的连接服务。  |
|||
smb-copy-filename (CTS) |
匹配 SMB 会话的 COPY 请求中的文件名。 |
|||
smb 数据 (ANY) |
匹配任何 SMB 数据部分。  |
|||
SMB-DCE-RPC(任意) |
匹配通过 SMB 传输层发送的任何 DCE/RPC 消息。  |
|||
SMB-DCE-RPC-BIND (CTS) |
匹配通过 SMB 传输层发送的任何 DCE/RPC 绑定消息。  |
|||
smb-dce-rpc-bind-ack (STC) |
匹配通过 SMB 传输层发送的任何 DCE/RPC 绑定确认消息。  |
|||
smb-dce-rpc-bind-nack (STC) |
匹配通过 SMB 传输层发送的任何 DCE/RPC bind-nack 消息。 |
|||
SMB-DCE-RPC-REQUEST (CTS) |
匹配通过 SMB 传输层发送的任何 DCE/RPC 请求消息。  |
|||
SMB-DCE-RPC- REQUEST-OBJ-UUID (CTS) |
匹配任何 DCE/RPC 请求消息的对象 UUID。  |
|||
SMB-DCE-RPC- 响应 (STC) |
匹配通过 SMB 传输层发送的任何 DCE/RPC 响应消息。  |
|||
smb-delete- 文件名 (CTS) |
匹配 SMB 会话的 DELETE 请求中的文件名。 |
|||
SMB 方言 (CTS) |
匹配 SMB 会话的 NEGOTIATE 请求中的每个 SMB 方言字符串。 |
|||
SMB 标头 |
匹配任何 SMB 报头部分  |
|||
smb-lanman- 请求 (CTS) |
匹配通过 SMB 传输层作为命名管道事务发送的任何 LANMAN 请求。此上下文的前 2 个字节包含函数的作码。   |
|||
smb-lanman- 响应 (STC) |
匹配通过 SMB 传输层作为命名管道事务接收的任何 LANMAN 响应。此上下文的前 2 个字节包含函数的作码。  |
|||
smb-lsarpc- 请求 (CTS) |
匹配通过 SMB 传输层作为指定管道事务发送的任何本地安全机构请求。此上下文的前 2 个字节包含函数的作码。 |
|||
smb-move- 文件名 (CTS) |
匹配 SMB 会话的 MOVE 请求中的文件名。 |
|||
smb-native- lanman (ANY) |
匹配 SMB 会话SESSION_SETUP_ANDX请求中的本机 LANMAN。  |
|||
smb-native-os (任何) |
匹配 SMB 会话的SESSION_SETUP_ANDX请求中的本机作系统。  |
|||
smb-open-filename (CTS) |
匹配 SMB 会话的 NT_CREATE_ANDX 和 OPEN_ANDX 请求中的文件名。  |
|||
smb-primary-domain (ANY) |
匹配 SMB 会话SESSION_SETUP_ANDX请求中的 SMB 主域名。 |
|||
smb-rename-filename (CTS) |
匹配 SMB 会话的 RENAME 请求中的文件名。  |
|||
smb-samr-request (CTS) |
匹配通过 SMB 传输层作为命名管道事务发送的任何安全帐户管理器请求。此上下文的前 2 个字节包含函数的作码。  |
|||
smb-samr-响应 (STC) |
匹配通过 SMB 传输层作为命名管道事务接收的任何安全帐户管理器响应。此上下文的前 2 个字节包含函数的作码。 |
|||
smb-session-header |
匹配任何 SMB 会话标头部分  |
|||
smb-srvsvc-请求 (CTS) |
匹配通过 SMB 传输层作为命名管道事务发送的任何服务器服务请求。此上下文的前两个字节包含函数的作码。  |
|||
smb-svcctl-请求 (CTS) |
匹配通过 SMB 传输层作为命名管道事务发送的任何服务控制管理器请求。此上下文的前两个字节包含函数的作码。  |
|||
smb-trans2-request (CTS) |
匹配任何 SMB Transaction2 请求。  |
|||
smb-trans2 响应 (STC) |
匹配任何 SMB Transaction2 响应。  |
|||
smb-trans2-set-path-info (CTS) |
匹配任何 SMB Transaction2 SET-PATH-INFORMATION 请求。  |
|||
服务上下文:TFTP
下表显示了 TFTP 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
tftp 文件名 (CTS) |
匹配 TFTP 会话中的任何文件名。  |
|||
tftp-get-filename (CTS) |
匹配 TFTP 会话中的 get 文件名。  |
|||
tftp-put-filename (CTS) |
匹配 TFTP 会话中的放置文件名。  |
|||