网络协议上下文
这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。您可以将网络协议的攻击对象和组配置为 IDP 策略规则中的匹配条件。
服务环境:BGP
下表显示了 BGP 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
bgp-keepalive-msg (任何) |
匹配 BGP 保持活动状态消息。 |
BGP 保持活动状态消息 |
BGP 消息(任何) |
匹配任何 BGP 消息。 |
BGP 消息 |
bgp-notification-msg (任何) |
匹配 BGP 通知消息。 |
BGP 通知消息 |
bgp-open-msg (ANY) |
匹配 BFP 打开消息。 |
BGP 开放消息 |
bgp-open-no-parm (ANY) |
匹配不带可选参数的 BFP 打开消息。 |
不带可选参数的 BGP 开放消息 |
BGP-open-parm (ANY) |
匹配 BGP 打开消息中的可选参数。 |
开放消息中的 BGP 可选参数 |
bgp-route-refresh-msg (ANY) |
匹配 BGP 路由刷新消息 |
BGP 路由刷新消息 |
bgp-update-attr-aggregator (ANY) |
匹配 BGP 更新消息中的聚合器路径属性数据。 |
更新消息中的 BGP 聚合器路径属性 |
bgp-update-attr-as-path (ANY) |
匹配 BGP 更新消息中的 AS 路径属性数据。 |
更新消息中的 BGP AS 路径路径属性 |
bgp-update-attr-atomic-aggr (ANY) |
匹配 BGP 更新消息中的原子聚合器路径属性数据。 |
更新消息中的 BGP 原子聚合器路径属性 |
bgp-update-attr-cluster-list (ANY) |
匹配 BGP 更新消息中的群集列表路径属性数据。 |
更新消息中的 BGP 群集列表路径属性 |
bgp-update-attr-communities (ANY) |
匹配 BGP 更新消息中的社区路径属性数据。 |
更新消息中的 BGP 社区路径属性 |
bgp-update-attr-local-pref (ANY) |
匹配 BGP 更新消息中的本地首选项路径属性数据。 |
更新消息中的 BGP 本地首选项路径属性 |
bgp-update-attr-med (ANY) |
匹配 BGP 更新消息中的多出口光盘路径属性数据。 |
更新消息中的 BGP 多出口光盘路径属性 |
bgp-update-attr-next-hop (ANY) |
匹配 BGP 更新消息中的下一跃点路径属性数据。 |
更新消息中的 BGP 下一跃点路径属性 |
bgp-update-attr-nonstd (ANY) |
匹配 BGP 更新消息中的任何非标准路径属性数据。 |
更新消息中的 BGP 非标准路径属性 |
bgp-update-attr-rigin (ANY) |
匹配 BGP 更新消息中的源路径属性日期。 |
更新消息中的 BGP 源路径属性 |
bgp-updet-attr-originator (ANY) |
匹配 BFP 更新消息中的发起方路径属性数据。 |
更新消息中的 BGP 发起方路径属性 |
bgp-update-msg (ANY) |
匹配 BGP 更新消息。 |
BGP 更新消息 |
bgp-update-nlri_infor (ANY) |
匹配 BGP 更新消息中的网络层可访问性信息。 |
更新消息中的 BGP 网络层可达性信息 |
bgp-update-norm-unfeasible-rte (ANY) |
匹配 BFP 更新消息中不可行的路由数据。此上下文显示每个路由扩展到 4 个字节,以分隔符为前缀。 |
BGP 更新消息中不可行的路由(规范化) |
bgp-update-total-path-attribute (ANY) |
匹配 BGP 更新消息中的总路径属性数据。 |
更新消息中的 BGP 总路径属性 |
bgp-update-unfeasible-rts (ANY) |
匹配 BGP 更新消息中不可行的路由数据。 |
BGP 更新消息中不可行的路由 |
服务上下文:DHCP
下表显示了 DHCP 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
DHCP 文件名(任何) |
匹配 DHCP/bootp 消息中的文件名。 |
|||
DHCP 选项(任何) |
匹配 DHCP/bootp 消息中的每个选项。每个选项上下文都包含选项的类型和长度。  |
|||
DHCP 服务器名称(任何) |
匹配 DHCP/bootp 消息中的服务器名称。 |
|||
服务上下文:DNS
下表显示了 DNS 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
dns-cname (任何) |
匹配 DNS 请求或响应中的别名记录。  |
|||
DNS 标志 |
匹配 DNS 请求或响应的标志  |
|||
dns-rr-a6-rdata (任何) |
匹配 DNS 请求响应中 A6 RR 的 rdata。 |
|||
dns-rr-afsdb-rdata (ANY) |
匹配 DNS 请求或响应中 AFSDB RR 的 rdata。 |
|||
dns-rr-apl-rdata (ANY) |
匹配 DNS 请求或响应中 APL RR 的 rdata。 |
|||
dns-rr-atma-rdata (ANY) |
匹配 DNS 请求或响应中 ATMA RR 的 rdata。 |
|||
dns-rr-cname-rdata (ANY) |
匹配 DNS 请求或响应中 CNAME RR 的 rdata。  |
|||
dns-rr-dnskey-rdata (ANY) |
匹配 DNS 请求或响应中 DNSKEY RR 的 rdata。 |
|||
dns-rr-ds-rdata (ANY) |
匹配 DNS 请求或响应中 DN RR 的 rdata。 |
|||
dns-rr-eid-rdata (ANY) |
匹配 DNS 请求或响应中 EID RR 的 rdata。 |
|||
dns-rr-hinfo-rdata (ANY) |
匹配 DNS 请求或响应中 HINFO RR 的 rdata。 |
|||
dns-rr-key-rdata (ANY) |
匹配 DNS 请求或响应中 KEY RR 的 rdata。 |
|||
dns-rr-kx-rdata (ANY) |
匹配 DNS 请求或响应中 KX RR 的 rdata。 |
|||
dns-rr-mb-rdata (ANY) |
匹配 DNS 请求或响应中 MB RR 的 rdata。 |
|||
dns-rr-md-rdata (ANY) |
匹配 DNS 请求或响应中 MD RR 的 rdata。 |
|||
dns-rr-mf-rdata (ANY) |
匹配 DNS 请求或响应中 MF RR 的 rdata。 |
|||
dns-rr-mg-rdata (ANY) |
匹配 DNS 请求或响应中 MG RR 的 rdata。 |
|||
dns-rr-minfo-rdata (ANY) |
匹配 DNS 请求或响应中 MINFO RR 的 rdata。 |
|||
dns-rr-mr-rdata (ANY) |
匹配 DNS 请求或响应中 MR RR 的 rdata。 |
|||
dns-rr-mx-rdata (ANY) |
匹配 DNS 请求或响应中 MX RR 的 rdata。 |
|||
dns-rr-naptr-rdata (ANY) |
匹配 DNS 请求或响应中 NAPTR RR 的 rdata。 |
|||
dns-rr-nimloc-rdata (ANY) |
匹配 DNS 请求或响应中 NIMLOC RR 的 rdata。 |
|||
dns-rr-nsap-rdata (ANY) |
匹配 DNS 请求或响应中 NSAP RR 的 rdata。 |
|||
dns-rr-ns-rdata (ANY) |
匹配 DNS 请求或响应中 NS RR 的 rdata。  |
|||
dns-rr-nsapptr-rdata (ANY) |
匹配 DNS 请求或响应中 NSAPPTR RR 的 rdata。 |
|||
dns-rr-nsec-rdata (ANY) |
匹配 DNS 请求或响应中 NSEC RR 的 rdata。 |
|||
dns-rr-null-rdata (ANY) |
匹配 DNS 请求或响应中空 RR 的 rdata。 |
|||
dns-rr-nxt-rdata (ANY) |
匹配 DNS 请求或响应中 NXT RR 的 rdata。 |
|||
dns-rr-ptr-rdata (ANY) |
匹配 DNS 请求或响应中 PTR RR 的 rdata。 |
|||
dns-rr-px-rdata (ANY) |
匹配 DNS 请求或响应中 PX RR 的 rdata。 |
|||
dns-rr-rp-rdata (ANY) |
匹配 DNS 请求或响应中 RP RR 的 rdata。 |
|||
dns-rr-rrsig-rdata (ANY) |
匹配 DNS 请求或响应中 RRSIG RR 的 rdata。 |
|||
dns-rr-sig-rdata (ANY) |
匹配 DNS 请求或响应中 SIG RR 的 rdata |
|||
dns-rr-soa-rdata (ANY) |
匹配 DNS 请求或响应中 SOA RR 的 rdata。  |
|||
dns-rr-sshfp-data (ANY) |
匹配 DNS 请求或响应中 SSHFP RR 的 rdata。 |
|||
dns-rr-tsip-rdata (ANY) |
匹配 DNS 请求或响应中 TSIP RR 的 rdata。 |
|||
dns-rr-txt-rdata (ANY) |
匹配 DNS 请求或响应中 TXT RR 的 rdata。 |
|||
dns-rr-type-rdata (ANY) |
匹配 DNS 请求或响应中的整个资源记录,包括类型和类。  |
|||
dns-rr-wks-rdata (ANY) |
匹配 DNS 请求或响应中 WKS RR 的 rdata。 |
|||
DNS 类型名称(任何) |
匹配 DNS 请求或响应中的任何名称资源记录。上下文的前 2 个字节包含 RFC-1035 类型值。  |
|||
dns-update-header |
匹配 DNS 更新请求或响应的标头。 |
|||
服务上下文:IKE
下表显示了 IKE 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
IKE 有效负载(任何) |
匹配 IKE 事务中的有效负载  |
|||
服务环境:Modbus
下表显示了 Modbus 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
modbus-except-resp (STC) |
匹配 Modbus 异常响应。  |
|||
modbus-request (CTS) |
匹配 Modbus 请求  |
|||
modbus-response (STC) |
匹配 Modbus 响应。  |
|||
modbus-trailing-data (ANY) |
匹配第一个 MODBUS PDU 之后的尾随数据。 |
|||
服务上下文:管理系统更新协议
下表显示了 MSRPC 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
MSRPC-ans (STC) |
匹配 MSRPC 会话中的响应数据 |
|||
MSRPC 呼叫 (CTS) |
匹配 MSRPC 会话中的请求数据  |
|||
msrpc-ifid-str (ANY) |
匹配 MSRPC 会话中的接口 ID 字符串。  |
|||
MSRPC-原始(任何) |
匹配 MSRPC 会话中的原始数据  |
|||
服务上下文:NetBIOS
下表显示了 NetBIOS 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
nbds-browse-backup-server (ANY) |
匹配 NetBIOS 浏览消息中备份服务器的名称。 |
NBDS 浏览备份服务器 |
nbds-browse-server-name (ANY) |
匹配 NetBIOS 浏览消息中的服务器名称。 |
NBDS 浏览服务器名称 |
nbds-destination-name (ANY) |
匹配 NetBIOS 消息中的目标名称字段。 |
NBDS 目标名称 |
nbds-mailslot-name (ANY) |
匹配 NetBIOS 邮件槽消息中邮件槽的名称。 |
NBDS 邮件插槽名称 |
nbds-source-ip-address (ANY) |
匹配 NetBIOS 数据报头中的源 IP 字段。 |
NBDS 源 IP 地址 |
nbds-source-name (ANY) |
匹配 NetBIOS 消息中的源名称字段。 |
NBDS 源名称 |
nbds-source-port (ANY) |
匹配 NetBIOS 数据报标头中的源端口字段。 |
NBDS 源端口 |
nbname-node-name (ANY) |
匹配状态响应消息中的节点名称。 |
NBNAME 节点名称 |
nbname-node-status (ANY) |
匹配节点状态响应的统计信息字段。 |
NBNAME 节点状态 |
nbname-nsd-ip-address (ANY) |
匹配在重定向名称查询响应消息中指定的 NetBIOS 名称服务器的 IP 地址。 |
NBNAME NSD IP 地址 |
nbname-nsd-name (ANY) |
匹配在重定向名称查询响应消息中指定的 NetBIOS 名称服务器的名称。 |
NBNAME NSD 名称 |
nbname-resource-address (ANY) |
匹配资源记录中资源的 IP 地址。 |
NBNAME 资源地址 |
nbname-type-name (ANY) |
匹配问题或资源记录中的类型和名称。 |
NBNAME 类型名称 |
服务上下文:NTP
下表显示了 NTP 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
ntp-ctrl-data-opt (ANY) |
匹配 NTP 控制消息中的数据字段。  |
|||
ntp-ctrl- opcode-response -var (ANY) |
匹配在 NTP 控制消息数据字段中找到的每个名称和值对。上下文包括 1 字节 NTP 控制消息操作码和 1 字节 NTP 响应类型。  |
|||
服务上下文:SNMP
下表显示了 SNMP 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
SNMP-社区 (任何) |
匹配任何 SNMP 请求或响应中的社区名称。  |
|||
snmp-get- bulk-oid (CTS) |
匹配任何 SNMP 获取批量请求中的二进制 OID。  |
|||
snmp-get- bulk-oid-parsed (CTS) |
匹配任何 SNMP 批量获取请求中的人类可读 OID。 |
|||
snmp-get- next-oid (CTS) |
匹配任何 SNMP Get-Next 请求中的二进制 OID。 |
|||
snmp-get- next-oid-parsed (CTS) |
匹配任何 SNMP Get-Next 请求中的人类可读 OID。 |
|||
snmp-get-oid (CTS) |
匹配任何 SNMP 获取请求中的二进制 OID。 |
|||
snmp-get- oid-parsed (CTS) |
匹配任何 SNMP Get 请求中的人类可读 OID。  |
|||
SNMP-OID (任何) |
匹配任何 SNMP 请求或响应中的二进制 OID。  |
|||
snmp-oid-parsed (ANY) |
匹配任何 SNMP 请求或响应中的人类可读 OID。  |
|||
SNMP-set-oid (CTS) |
匹配任何 SNMP 集请求中的二进制 OID。 |
|||
snmp-set-oid- parsed (CTS) |
匹配任何 SNMP 集请求中的人类可读 OID。 |
|||
snmptrap-community (CTS) |
匹配任何 SNMPTRAP 消息中的社区名称。 |
|||
snmptrap-eid (CTS) |
匹配任何 SNMPTRAP 消息中的二进制 EID(企业 ID)。 |
|||
snmptrap-eid-parsed (CTS) |
匹配任何 SNMPTRAP 消息中的人类可读 EID(企业 ID)。 |
|||
snmptrap-inform-oid (CTS) |
匹配任何 SNMPTRAP 通知消息中的二进制 OID。 |
|||
snmptrap-inform-oid-parsed (CTS) |
匹配任何 SNMPTRAP 通知消息中的人类可读 OID。 |
|||
snmptrap-oid (CTS) |
匹配任何 SNMPTRAP 消息中的二进制 OID。 |
|||
snmptrap-oid- parsed (CTS) |
匹配任何 SNMPTRAP 消息中的人类可读 OID。 |
|||
snmptrap-v2- oid (CTS) |
匹配任何 SNMPTRAP v2 消息中的二进制 OID。 |
|||
snmptrap-v2- oid-parsed (CTS) |
匹配任何 SNMPTRAP v2 消息中的人类可读 OID。 |
|||