【天堤探针】【对象配置】如何添加漏洞签名?

颜采蘋发表于:2020年10月10日 14:32:18更新于:2020年10月16日 16:12:05

答:自定义漏洞签名是对入侵检测库的补充。自定义漏洞签名的优先级高于入侵检测库中的签名。

步骤 1     选择“对象配置 > 自定义签名 > 漏洞”。

步骤 2     单击“添加”。

步骤 3     设置漏洞签名的名称和描述。

步骤 4     设置漏洞签名的基本参数。

参数

说明

CVEID

指定漏洞的CVEID。

CNNVDID

指定漏洞的CNNVDID。

严重性

选择漏洞的严重性。

协议

选择漏洞的协议类型。

BGP、DB2数据库、MONGO数据库、MSSQL数据库、MYSQL数据库、ORACLE数据库、PGSQL数据库、REDIS数据库、FTP、HTTP、IMAP、KERBEROS、LDAP、NFS、POP3、SMB、SMTP、SSH、SSL、TCP、TELNET、TFTP、UDP。

 步骤 5     配置漏洞规则。

1.设置是否开启按顺序检测。

开启按顺序检测后,报文的特征必须按顺序配置漏洞规则。不开启按顺序检测时,报文的特征只要匹配签名的所有漏洞规则,不一定顺序一致。

2.单击“添加”,添加漏洞规则,添加完成后,单击“确定”。

参数

说明

操作

操作支持匹配、大于、小于和等于。

l 匹配操作对指定字段的字符串与用户设置的值进行匹配。

l 大于、小于或等于操作对指定字段的数值与用户设置的值进行比较。

匹配模式

操作为匹配时,可设置匹配模式。匹配模式支持“文本匹配”和“正则匹配”。

文本匹配是直接对指定字段的字符串与值指定的字符串进行匹配;正则匹配则是对字符串与指定字符串按照正则表达式进行计算后再进行匹配。

字段

上下文的选项跟协议有关系。

l 协议为HTTP时,上下文选项包括:HTTP.req_uri_path、HTTP.rsp_headers、HTTP.req_headers、HTTP.req_host、HTTP.req_method、HTTP.req_referer、HTTP.req_user_agent、HTTP.req_cookie、HTTP.req_content_type、HTTP.rsp_body、HTTP.req_body、HTTP.req_first_line、HTTP.req_transfer_encoding、HTTP.req_mime_form_data、HTTP.rsp_location、HTTP.req_params、HTTP.req_params_value、HTTP.req_xff、HTTP.req_chunk_raw、HTTP.rsp_chunk_raw、HTTP.rsp_content_type。

l 协议为TCP时,上下文选项包括:TCP.unknown_tcp_req、TCP.unknown_tcp_res。

l 协议为UDP时,上下文选项包括:UDP.unknown_udp_req、UDP.unknown_udp_res。

操作为匹配时,值的取值范围为除中文以外的3~63个字符。

正则表达式需要专业的规则语言来书写,例如16进制ascii码或者and、or关系符。

操作为大于、小于或等于时,值的取值范围为0~65535的数值。

3.设置源端口和目的端口。

步骤 6     规则配置完成后,单击“确定”。

配置好的漏洞签名在漏洞列表中显示。

步骤 7     选中配置好的签名,单击“提交”。

只有提交后,签名才生效。