Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

网络协议上下文

这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。您可以在 IDP 策略规则中将网络协议的攻击对象和组配置为匹配条件。

服务上下文:BGP

下表显示了 BGP 的安全上下文详细信息:

表 1:服务上下文:BGP

背景和方向

描述

显示名称

bgp-keepalive-msg(任何)

匹配 BGP 保持激活消息。

BGP KeepAlive 消息

bgp 消息 (ANY)

匹配任何 BGP 消息。

BGP 消息

bgp-notification-msg(任何)

匹配 BGP 通知消息。

BGP 通知消息

bgp-open-msg(任意)

匹配 BFP 打开的消息。

BGP 开放消息

bgp-open-no-parm (任何)

匹配不带可选参数的 BFP 打开消息。

不带可选参数的 BGP 开放消息

bgp-open-parm(任意)

匹配 BGP 打开消息中的可选参数。

公开消息中的 BGP 可选参数

bgp-route-refresh-msg(任何)

匹配 BGP 路由刷新消息

BGP 路由刷新消息

bgp-update-attr-aggregator (任何)

匹配 BGP 更新消息中的聚合器路径属性数据。

更新消息中的 BGP 聚合器路径属性

bgp-update-attr-as-path (ANY)

匹配 BGP 更新消息中的 AS 路径属性数据。

更新消息中的 BGP AS 路径路径属性

bgp-update-attr-atomic-aggr (任何)

匹配 BGP 更新消息中的原子聚合器路径属性数据。

更新消息中的 BGP 原子聚合器路径属性

bgp-update-attr-cluster-list (任何)

匹配 BGP 更新消息中的 Cluster-List 路径属性数据。

更新消息中的 BGP 群集列表路径属性

bgp-update-attr-communities (任何)

匹配 BGP 更新消息中的社区路径属性数据。

更新消息中的 BGP 社区路径属性

bgp-update-attr-local-pref (任何)

匹配 BGP 更新消息中的 Local-Pref 路径属性数据。

更新消息中的 BGP 本地 Pref 路径属性

bgp-update-attr-med (任何)

匹配 BGP 更新消息中的 Multi-Exit-Disc 路径属性数据。

更新消息中的 BGP 多出口光盘路径属性

bgp-update-attr-next-hop (任何)

匹配 BGP 更新消息中的下一跃点路径属性数据。

更新消息中的 BGP 下一跃点路径属性

bgp-update-attr-nonstd (任何)

匹配 BGP 更新消息中的任何非标准路径属性数据。

更新消息中的 BGP 非标准路径属性

bgp-update-attr-rigin(任何)

匹配 BGP 更新消息中的“源”路径属性日期。

更新消息中的 BGP 源路径属性

bgp-updet-attr-originator (ANY)

匹配 BFP 更新消息中的发起方路径属性数据。

更新消息中的 BGP 发起方路径属性

bgp-update-msg(任何)

匹配 BGP 更新消息。

BGP 更新消息

bgp-update-nlri_infor (ANY)

匹配 BGP 更新消息中的网络层可达性信息。

更新消息中的 BGP 网络层可达性信息

bgp-update-norm-unfeasible-rte (任何)

匹配 BFP 更新消息中不可行的路由数据。此上下文显示每个路由扩展为 4 个字节,并以分隔符为前缀。

BGP 更新消息中的不可行路由(规范化)

bgp-update-total-path-attribute (任何)

匹配 BGP 更新消息中的总路径属性数据。

更新消息中的 BGP 总路径属性

bgp-update-unfeasible-rts (任何)

匹配 BGP 更新消息中不可行的路由数据。

BGP 更新消息中的不可行路由

服务上下文:DHCP

下表显示了 DHCP 的安全上下文详细信息:

表 2:服务上下文:DHCP

背景和方向

描述

上下文示例

dhcp 文件名 (ANY)

匹配 DHCP/bootp 消息中的文件名。

dhcp 选项 (ANY)

匹配 DHCP/bootp 消息中的每个选项。每个选项上下文都包含选项的类型和长度。

Example of field in DHCP transaction:

Dynamic Host Configuration
Protocol Message type: Unknown
(144)
Hardware type: Unknown (0x90)
Hardware address length: 144 Hops: 144
Transaction ID: 0x90909090
Seconds elapsed: 37008
Bootp flags: 0x9090, Broadcast flag (Broadcast)
Client IP address: 144.144.144.144 Your (client) IP address: 144.144.144.144 Next server IP
address: 144.144.144.144 Relay agent IP address: 144.144.144.144 Client address not given
Server host name [truncated]:
\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\ 277\275\357\277\275\357\277\275357\277\275\357\277\275\357\277\275\357\277\275\357\277\2 75\357\277\275\357\277\275\357 Boot file name [truncated]:
\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\ 27 7\27 5\35 7\27 7\27 5\357\277\275\357\277\275\3572 77\2 75\35 7\27 7\27 5\35 7\27 7\27 5\357\277\2 751357\277\275\357\2772 7513 572
Bootp vendor specific options: 909090909090909090909090909090909090909090909090...
Option: (144) Geospatial Location [IODO:RFC6225]
Length: 144
Value: 909090909090909090909090909090909090909090909090...
Option: (144) Geospatial Location [TOdO:RFC6225]
Option: (144) Geospatial Location [T0D0:RFC6225]
Option: (144) Geospatial Location [T0D0:RFC6225]
Option: (141) SIP UA Configuration Domains Option: (192) Unassigned
[Malformed Packet: DHCP/BOOTP]

Example of context usage:
Context: dhcp-option pattern: "\x 909090 \x"

dhcp 服务器名称 (ANY)

匹配 DHCP/bootp 消息中的服务器名称。

服务上下文:DNS

下表显示了 DNS 的安全上下文详细信息:

表 3:服务上下文:DNS

背景和方向

描述

上下文示例

dns-cname(任何)

匹配 DNS 请求或响应中的 CNAME。

DNS 标志

匹配 DNS 请求或响应的标志

dns-rr-a6-rdata (any)

匹配 DNS 请求响应中 A6 RR 的 rdata。

dns-rr-afsdb-rdata (任何)

匹配 DNS 请求或响应中 AFSDB RR 的 rdata。

dns-rr-apl-rdata(任何)

匹配 DNS 请求或响应中 APL RR 的 rdata。

dns-rr-atma-rdata(任何)

匹配 DNS 请求或响应中 ATMA RR 的 rdata。

dns-rr-cname-rdata (任何)

匹配 DNS 请求或响应中 CNAME RR 的 rdata。

dns-rr-dnskey-rdata(任何)

匹配 DNS 请求或响应中 DNSKEY RR 的 rdata。

dns-rr-ds-rdata (任何)

匹配 DNS 请求或响应中 DN RR 的 rdata。

dns-rr-eid-rdata (任何)

匹配 DNS 请求或响应中 EID RR 的 rdata。

dns-rr-hinfo-rdata (任何)

匹配 DNS 请求或响应中 HINFO RR 的 rdata。

dns-rr-key-rdata (任何)

匹配 DNS 请求或响应中 KEY RR 的 rdata。

dns-rr-kx-rdata (任何)

匹配 DNS 请求或响应中 KX RR 的 rdata。

dns-rr-mb-rdata (任何)

匹配 DNS 请求或响应中 MB RR 的 rdata。

dns-rr-md-rdata (任何)

匹配 DNS 请求或响应中 MD RR 的 rdata。

dns-rr-mf-rdata (任何)

匹配 DNS 请求或响应中 MF RR 的 rdata。

dns-rr-mg-rdata (任何)

匹配 DNS 请求或响应中 MG RR 的 rdata。

dns-rr-minfo-rdata (任何)

匹配 DNS 请求或响应中 MINFO RR 的 rdata。

dns-rr-mr-rdata(任何)

匹配 DNS 请求或响应中 MR RR 的 rdata。

dns-rr-mx-rdata (任何)

匹配 DNS 请求或响应中 MX RR 的 rdata。

dns-rr-naptr-rdata (任何)

匹配 DNS 请求或响应中 NAPTR RR 的 rdata。

dns-rr-nimloc-rdata (任何)

匹配 DNS 请求或响应中 NIMLOC RR 的 rdata。

dns-rr-nsap-rdata (任何)

匹配 DNS 请求或响应中 NSAP RR 的 rdata。

dns-rr-ns-rdata (任何)

匹配 DNS 请求或响应中 NS RR 的 rdata。

dns-rr-nsapptr-rdata (任何)

匹配 DNS 请求或响应中 NSAPPTR RR 的 rdata。

dns-rr-nsec-rdata (任何)

匹配 DNS 请求或响应中 NSEC RR 的 rdata。

dns-rr-null-rdata (任何)

匹配 DNS 请求或响应中 NULL RR 的 rdata。

dns-rr-nxt-rdata(任何)

匹配DNS请求或响应中NXT RR的rdata。

dns-rr-ptr-rdata (任何)

匹配 DNS 请求或响应中 PTR RR 的 rdata。

dns-rr-px-rdata (任何)

匹配 DNS 请求或响应中 PX RR 的 rdata。

dns-rr-rp-rdata (任何)

匹配 DNS 请求或响应中 RP RR 的 rdata。

dns-rr-rrsig-rdata (任何)

匹配 DNS 请求或响应中 RRSIG RR 的 rdata。

dns-rr-sig-rdata (任何)

匹配 DNS 请求或响应中 SIG RR 的 rdata

dns-rr-soa-rdata (任何)

匹配 DNS 请求或响应中 SOA RR 的 rdata。

dns-rr-sshfp-data (任何)

匹配 DNS 请求或响应中 SSHFP RR 的 rdata。

dns-rr-tsip-rdata (任何)

匹配 DNS 请求或响应中 TSIP RR 的 rdata。

dns-rr-txt-rdata(任何)

匹配 DNS 请求或响应中 TXT RR 的 rdata。

dns-rr-type-rdata (任何)

匹配 DNS 请求或响应中的整个资源记录,包括类型和类。

dns-rr-wks-rdata(任何)

匹配 DNS 请求或响应中 WKS RR 的 rdata。

dns 类型名称 (ANY)

匹配 DNS 请求或响应中的任何名称资源记录。上下文的前 2 个字节包含 RFC-1035 类型值。

dns-update-header

匹配 DNS UPDATE 请求或响应的标头。

服务上下文:IKE

下表显示了 IKE 的安全上下文详细信息:

表 4:服务上下文:IKE

背景和方向

描述

上下文示例

ike 有效负载 (ANY)

匹配 IKE 事务中的有效负载

Internet Security Association and Key Management Protocol

Initiator SPI: 1717171717171717
Responder SPI: 0000000000000000
Next payload: Notification (11)
Version: 1.0
Exchange type: Informational (5)
Flags: Ox00
Message ID: 0x00000000
Length: 40
Payload: Notification (11)

Example of context usage:
Context: ike-payload pattern: "\xOb00Oc0000000101006002\x”

服务上下文:Modbus

下表显示了 Modbus 的安全上下文详细信息:

表 5:服务上下文:Modbus

背景和方向

描述

上下文示例

modbus-except-resp (STC)

匹配 Modbus 异常响应。

Example of field in MODBUS transaction:

Transmission Control Protocol Sre Port: 502. Dst Port: 2578. Seq: 1894886683. Ack: 1637347727. Len: 9
Modbus/TCP
Transaction Identifier: 0 Protocol Identifier: 0 Length: 3 Unit
Identifier: 10
Functions: Diagnostics. Exception: Gateway target device failed to respond .000
1000 = Function Code: Diagnostics (8)
Exception Code: Gateway target device failed to respond (11)
00 20 78 00 62 Od 00 02 b3 ce 70 51 08 00 45 00 . x.b pQ.E.
00 31ffe5 40 00 80 06 6 a5 0a 00 00 03 0a 00 1.@
00 39 01 f6 0a 12 70 fl ad lb 61 97 fl 8f50 18 .9..p...a...P.
ff£3 08 ed 00 00 00 00 00 00 00 03 0a 88 Ob

Example of context usage:
Context: modbus-except-response pattern: “\xOa88\x”

modbus 请求 (CTS)

匹配 Modbus 请求

Example of field in MODBUS transaction:
Modbus/TCP
Transaction Identifier: 0
Protocol Identifier: 0
Length: 6
Unit Identifier: 10
Modbus
.0001000 = Function Code: Diagnostics (8)
Diagnostic Code: Force Listen Only Mode (4)
Data: 0000
00 02 b3 ce 70 51 00 20 78 00 62 Od 08 00 45 00 ....
00 34 85 83 40 00 80 06 61 05 0a 00 00 39 0a 00 .4.
00 03 0a 12 01 f6 61 97 fl 83 70 fl ad lb 50 18
fa fO 19 52 00 00 00 00 00 00 00 06 0a 08 00 04 ...R.
00 00

Example of context usage:
Context: modbus-request pattern: “\x 060a x”

modbus 响应 (STC)

匹配 Modbus 响应。

Example of field in MODBUS transaction:

Transmission Control Protocol. Src Port: 502. Port: 2578. Seq: 1894886719. Ack: 1637347775.Len: 12
Modbus/TCP
Transaction Identifier: 0
Protocol Identifier: 0
Length: 6
Unit Identifier: 10
Modbus
.0001000 = Function Code: Diagnostics (8)
[Request Frame: 17]
[Time from request: 0.002023000 seconds]
Diagnostic Code: Restart Communications Option (1)
Restart Communication Option: Leave Log (0x0000)
00 20 78 00 62 Od 00 02 b3 ce 70 51 08 00 45 00 . x.b pQ..E.
00 34 ff e9 40 00 80 06 e6 9e Oa 00 00 03 Oa 00 .4..@
00 39 01 f6 Oa 12 70 fl ad 3f 61 97 fl bf 50 18 .9....p..?a...P.
ff c3 14 22 00 00 00 00 00 00 00 06 0a 08 00 01 ..."
00 00

Example of context usage:
Context: modbus-response pattern: "\x 080001 \x"

modbus-trailing-data (任何)

匹配第一个 MODBUS PDU 之后的尾随数据。

服务上下文:MSRPC

下表显示了 MSRPC 的安全上下文详细信息:

表 6:服务上下文:MSRPC

背景和方向

描述

上下文示例

MSRPC-ANS (STC)

匹配 MSRPC 会话中的响应数据

MSRPC 调用 (CTS)

匹配 MSRPC 会话中的请求数据

msrpc-ifid-str (任何)

匹配 MSRPC 会话中的接口 ID 字符串。

msrpc-raw(任何)

匹配 MSRPC 会话中的原始数据

服务上下文:NetBIOS

下表显示了 NetBIOS 的安全上下文详细信息:

表 7:服务上下文:NetBIOS

背景和方向

描述

显示名称

nbds-browse-backup-server (任何)

匹配 NetBIOS 浏览消息中备份服务器的名称。

NBDS 浏览备份服务器

nbds-browse-server-name (ANY)

匹配 NetBIOS 浏览消息中的服务器名称。

NBDS 浏览服务器名称

nbds-destination-name (任何)

与 NetBIOS 消息中的目标名称字段匹配。

NBDS 目标名称

nbds-mailslot-name (任何)

匹配 NetBIOS mailslot 消息中的 mailslot 名称。

NBDS Mailslot 名称

nbds-source-ip-address (ANY)

匹配 NetBIOS 数据报标头中的源 IP 字段。

NBDS 源 IP 地址

nbds-source-name (任何)

与 NetBIOS 消息中的源名称字段匹配。

NBDS 源名称

nbds-source-port (ANY)

匹配 NetBIOS 数据报标头中的源端口字段。

NBDS 源端口

nbname-node-name (任何)

与状态响应消息中的节点名称匹配。

NBNAME 节点名称

nbname-node-status (任何)

匹配节点状态响应的统计信息字段。

NBNAME 节点状态

nbname-nsd-ip-address (ANY)

匹配在重定向名称查询响应消息中指定的 NetBIOS 名称服务器的 IP 地址。

NBNAME nsd IP 地址

nbname-nsd-name (ANY)

匹配在重定向名称查询响应消息中指定的 NetBIOS 名称服务器的名称。

NBNAME NSD 名称

nbname-resource-address (任何)

匹配资源记录中资源的 IP 地址。

NBNAME 资源地址

nbname-type-name (任何)

匹配问题或资源记录中的类型和名称。

NBNAME 类型名称

服务上下文:NTP

下表显示了 NTP 的安全上下文详细信息:

表 8.. 服务上下文:NTP

背景和方向

描述

上下文示例

ntp-ctrl-data-opt (任何)

匹配 NTP 控制消息中的数据字段。

Example of field in NTP transaction:
User Datagram Protocol, Src Port: 57629, Dst Port: 123
Network Time Protocol (NTP Version 2, control)
Flags: 0x16, Leap Indicator: no warning. Version number: NTP Version 2, Mode: reserved for NTP control message
Flags 2: 0x08, Response bit: Request, Opcode: runtime configuration
Sequence: 2 [Response In: 2]
Status: 0x0000
AssociationD: 0
Offset: 0 Count: 35
Data
Configuration: server 172.16.8.218 mode 3735928559
Padding: 00
Authenticator

Example of context usage:
Context: ntp-ctrl-data-opt pattern: "server"

ntp-ctrl-作码响应 -var (ANY)

匹配在 NTP 控制消息数据字段中找到的每个名称和值对。上下文包括 1 字节 NTP 控制消息作码和 1 字节 NTP 响应类型。

Example of field in NTP transaction:

User Datagram Protocol, Src Port: 49874, Dst Port: 123
Network Time Protocol (NTP Version 2, control)
Flags: 0x16, Leap Indicator: no warning. Version number: NTP Version 2, Mode: reserved for NTP control message
Flags 2: 0x02, Response bit: Request, Opcode: read variables
Sequence: 1
Status: 0x0000
Association ID: 0
Offset: 0
Count: 310
Data
stratum=
Padding: e2357a79727d Authenticator

Example of context usage:
Context: ntp-ctrl-opcode-response-var pattern: "stratum="

服务上下文: SNMP

下表显示了 SNMP 的安全上下文详细信息:

表 9.服务上下文:SNMP

背景和方向

描述

上下文示例

snmp 社区 (ANY)

匹配任何 SNMP 请求或响应中的公共组名称。

Example of field in SNMP transaction:

User Datagram Protocol, Src Port: 3301, Dst Port: 161
Simple Network Management Protocol
    version: version-1 (0)
    community: FirstBogus 
    data: get-request (0)

Example of context usage:
Context: snmp-community pattern: "First”

snmp-get-bulk-oid (CTS)

匹配任何 SNMP Get-Bulk 请求中的二进制 OID。

Example of field in SNMP transaction:

Simple Network Management Protocol 
    version: v2c (1) 
    community: public
    data: getBulkRequest (5)
        getBulkRequest
            request-id: 34487 
            non-repeaters 0 
            max-repetitions: 2147483647
            variable-bindings: 110 items
            1.3: Value (Null)
              Object Name: 1.3 (iso.3)
              Value (Null)
             1.3: Value (Null)
                Object Name: 1.3 (iso.3) 
                Value (Null)

Example of context usage:
Context: snmp-get-bulk-oid pattern: "1\.3”

snmp-get- bulk-oid-parsed (CTS)

匹配任何 SNMP Get-Bulk 请求中的人类可读 OID。

snmp-get-next-oid (CTS)

匹配任何 SNMP Get-Next 请求中的二进制 OID。

snmp-get-next-oid-parsed (CTS)

匹配任何 SNMP Get-Next 请求中的人类可读 OID。

snmp-get-oid (CTS)

匹配任何 SNMP Get 请求中的二进制 OID。

snmp-get-oid-parsed (CTS)

匹配任何 SNMP Get 请求中的人类可读 OID。

Example of field in SNMP transaction:

Simple Network Management Protocol
    version: version-1 (0)
    community: FirstBogus
    data: get-request (0)
        get-request
            request-id: 29248
            error-status: noError (0)
            error-index: 0
            variable-bindings: 1 item
                1.3.6.1.2.1.1.1.0: Value (Null)    
                    Object Name: 1.3.6.1.2.1.1.1.0 (iso.3.6.1.2.1.1.1.0)
                    Value (Null)

Example of context usage:
Context: snmp-get-oid-parsed pattern: "iso\.3\.6"

snmp-oid (任何)

匹配任何 SNMP 请求或响应中的二进制 OID。

Example of field in SNMP transaction:

Simple Network Management Protocol
version: version-1 (0)
community: FirstBogus
data: get-request (0)
    get-request
        request-id: 29248
        error-status: noError (0)
        error-index: 0
        variable-bindings: 1 item
            1.3.6.1.2.1.1.1.0: Value (Null)
                Object Name: 1.3.6.1.2.1.1.1.0 (iso.3.6.1.2.1.1.1.0)
                Value (Null)

Example of context usage:
Context: snmp-oid pattern: "1\.3”

snmp-oid-parsed (ANY)

匹配任何 SNMP 请求或响应中的人类可读 OID。

Example of field in SNMP transaction:

Simple Network Management Protocol
version: version-1 (0)
community: FirstBogus
data: get-request (0)
    get-request
        request-id: 29248
        error-status: noError (0)
        error-index: 0
        variable-bindings: 1 item
            1.3.6.1.2.1.1.1.0: Value (Null)
                Object Name: 1.3.6.1.2.1.1.1.0 (iso.3.6.1.2.1.1.1.0)
                Value (Null)

Example of context usage:
Context: snmp-oid pattern: "1\.3”

snmp-set-oid (CTS)

匹配任何 SNMP 集请求中的二进制 OID。

snmp-set-oid- 解析 (CTS)

匹配任何 SNMP 集请求中的人类可读 OID。

snmptrap 社区 (CTS)

匹配任何 SNMPTRAP 消息中的公共组名称。

snmptrap-eid (CTS)

匹配任何 SNMPTRAP 消息中的二进制 EID (Enterprise-ID)。

snmptrap-eid-parsed (CTS)

匹配任何 SNMPTRAP 消息中的人类可读 EID (Enterprise-ID)。

snmptrap-inform-oid (CTS)

匹配任何 SNMPTRAP 通知消息中的二进制 OID。

snmptrap- inform-oid-parsed (CTS)

匹配任何 SNMPTRAP 通知消息中的人类可读 OID。

snmptrap oid (CTS)

匹配任何 SNMPTRAP 消息中的二进制 OID。

snmptrap-oid- 解析 (CTS)

匹配任何 SNMPTRAP 消息中的人类可读 OID。

snmptrap-v2- oid (CTS)

匹配任何 SNMPTRAP v2 消息中的二进制 OID。

snmptrap-v2- oid-parsed (CTS)

匹配任何 SNMPTRAP v2 消息中的人类可读 OID。