状态化signature
监控不同类型的状态化切换
1.cisco login
2.lpr
3.smtp
需要试验验证:
start仅仅表示一个开始
ciscodevice:仅仅只是匹配初始化时候弹出的提示符号,例如:user accessvenfication,ciscosystemsconsole.
passprompt:仅仅只是匹配一个密码提示符号,例如:password;
controlc:命令行输入的字符匹配
string signature engines
对一个流的字段进行匹配,而不是一个特定的包
string icmp
string tcp
string udp
扫描
1.扫描多个主机
2.扫描一个主机上的多个端口
3.扫描多个主机的相同服务
发送混合的tcp包进行扫描,并且通过这种方法来定位操作系统
监测木马程序通过icmp传输异常流量
对ftp成人的和未成年人的命令进行控制
所有的ftp命令监控的sg都是关闭的
默认actior都是prcduce alert和deny connectiorinline
aic http engine
控制实际传输的数据和信息里边表明的类型相同
控制url的长度
控制信息和头部的长度
增强的控制职能使用rfc兼容http模式
确认response的信息和request请求的信息一致
提供wcrm防御功能,创建策略阻止适当类型的mime,并且保证请求的mime类型和回应mime类型相同
控制传输使用的编码格式
控制通过http session传输其他类型的流量。
是否允许非rfc兼容的http流量穿越ips,默认这个sig是关掉的,所有非兼容的http流量都可以通过。
content type
1.a specific mime type指定头部里边允许的mime类型
2.content verlfication fails确定请求和传输的mime类型是一样的
3.message-size violation确定特定一种mime的长度
recognized content type signature:只允许一个固化列表里边罗列的mime类型穿越,不在其内的mime类型采取sig相关的action,这么sig是默认打开的.
1.定义一个特定的request类型相关的策略
2.通过一个固化的request类型列表来判断特定流量的行为,在这个列表以内的request类型放过,超过这个类表的类型sig的相关行为就产生,这个sig默认被打开的。
1.定义一个特定传输彪马格式的相应策略
2.通过一个固化的传输编码格式列表来判断特定流量的行为,在这个列表以为的传输编码格式被放过,超出这个类表的个是sig的相应行为就产生,这个sig默认被打开的
3.大块传输编码错误sig,出现大块传输编码错误的时候采取sig定义的相应行为。
当最大的http request数量超过的时候采取sig相应的行为。
0指定在包头里边的mime类型
1指定mime类型的长度限制
2确定头部里边制定的类型和在body里边的类型相同
标签:Describing,request,http,传输,mime,Signature,类型,sig,Engines.2 From: https://www.cnblogs.com/smoke520/p/18357867