FTP 客户端检查器

FTP 客户端检查器概述

类型

检查器 (被动)

使用方式

检测

实例类型

多实例

所需其他检查器

ftp_serverstream_tcp

已启用

true

文件传输协议 (FTP) 是用于通过 TCP/IP 在客户端和服务器之间传输文件的网络协议。在客户端和服务器建立连接后,客户端向服务器发出命令以将文件上传到服务器或从服务器下载文件,并解释服务器的响应。

ftp_client 检查器检查 FTP 命令通道上的响应并将其规范化。

给定 FTP 命令通道缓冲区, ftp_client 检查器解释 FTP 响应代码和消息。 ftp_client 检查器会强制执行参数的正确性,确定何时加密 FTP 命令连接,以及何时打开 FTP 数据通道。

FTP 客户端检查器参数

bounce

指定是否通过检查客户端发出的 ftp 端口 命令中的主机信息来检查 FTP 退回。当 退回true时,如果 ftp 端口 命令中的主机信息与配置的客户端 IP 地址或主机信息不 上启用此选项,系统会生成警报,并且在内联部署中丢弃违规的数据包。这可用于防止 FTP 退回攻击,并允许 FTP 数据通道目标与客户端不同的 FTP 连接。

类型: boolean

有效值: truefalse

默认值: false

Ignore_telnet_erase_cmds

指定在规范化 FTP 命令通道时是否忽略擦除字符 (TNC EAC) 和擦除行字符 (TNC EAL) 的 telnet 转义序列。您应设置此参数以匹配 FTP 客户端处理 telnet 擦除命令的方式。请注意,新 FTP 客户端通常会忽略 Telnet 擦除命令,而旧客户端通常会进行处理。当 ignore_telnet_erase_cmds 参数为 false时,检查器使用规则 125:1 生成警报,并在内联部署中丢弃违规数据包。

类型: boolean

有效值: truefalse

默认值: false

max_resp_len

指定客户端接受的所有响应消息的最大长度(以字节为单位)。如果 FTP 响应的消息(3 位数返回代码后的所有内容)超过此长度,并且规则 125:6 已启用,则系统会生成警报,并且在内联部署中丢弃违规数据包。这用于检查 FTP 客户端内的缓冲区溢出漏洞攻击。

类型: 整数

有效范围: 04,294,967,295(最大 32)

默认值: 4,294,967,295

telnet_cmds

指定是否检查 FTP 命令通道上的 telnet 命令。如果存在此类命令,则可能表示 FTP 命令通道上存在逃逸尝试。

您可以启用规则 125:1 来生成此参数的事件,并且在内联部署中丢弃违规数据包。

类型: boolean

有效值: truefalse

默认值: false

FTP 客户端检查器规则

启用 ftp_client 检查器规则,以 生成事件并在内联部署中丢弃攻击性数据包

表 1. FTP 客户端检查器规则

GID:SID

Rule Message

125:1

FTP 命令通道上的 TELNET cmd

125:6

FTP 响应消息过长

125:8

FTP 退回尝试

FTP 客户端检查器入侵规则选项

ftp_client 检查器没有任何入侵规则选项。