MMS 检查器

MMS 检查器概述

类型

检查器(服务)

使用方式

检测

实例类型

多实例

所需其他检查器

stream_tcp

已启用

false

IEC 61850 是定义电力系统通信协议的国际标准。制造消息规范 (MMS) 协议是 IEC 61850 协议之一。MMS 支持在各种制造和过程控制设备之间实时传输监控和数据采集 (SCADA) 数据。MMS 协议使用 TCP 端口 102 在客户端和服务器设备之间交换消息。

MMS 检查器检测并分析 MMS 流量。MMS 消息可以在一个 TCP 数据包中包含多个协议数据单元 (PDU),可以在多个 TCP 数据包中包含一个 PDU,也可以包含这两种消息配置。 MMS 检查器规范化 MMS 流量,以向设备显示完整的 MMS 消息。

您可以为 MMS 消息编写 Snort 3 规则,而无需解码 MMS 协议。 MMS 检查器会分析封装 MMS 协议的 OSI 层,并通过规则选项提供对某些 MMS 协议字段和数据内容的访问权限。有关 MMS 规则选项的信息,请参阅 MMS 检查器入侵规则选项

MMS 检查器参数

MMS 服务配置

绑定程序 检查器定义 MMS 服务 配置。有关详细信息,请参阅绑定程序检查器概述

示例: 
[
    {
        "when": {
            "service": "mms"
        },
        "use": {
            "type": "mms"
        }
    }
]

MMS 检查器规则

mms 检查器没有任何关联规则。

MMS 检查器入侵规则选项

mms_data

将检测光标位置设置到 MMS 协议数据单元 (PDU) 的开头,绕过所有 OSI 封装层。当入侵规则包括 mms_data时,规则中的后续规则选项从 MMS PDU 开始处理。

语法: mms_data;

示例:

以下入侵规则示例设置 mms_data 规则选项。 mms_data 规则选项将检测光标定位到 MMS PDU 的开头,并检查该位置的字节是否具有 发起-请求 消息的值。 


alert tcp ( \
msg: "PROTOCOL-SCADA MMS Initiate-Request"; \
flow: to_server, established; \
mms_data; \
content:"|A8|", depth 1; \
sid:1000000; \
)

mms_func

将提供的函数名称或编号与 MMS 请求或响应中的 已确认服务 字段进行比较。当 MMS 功能名称或数量与 已确认的服务匹配时发出警报。

类型: 字符串

语法: mms_func <function>;

示例:

以下入侵规则示例设置 mms_fuc 规则选项,并在 已确认的服务请求 服务与提供的函数名称匹配时发出警报。此外, mms_fuc 启用快速模式匹配功能,以匹配 已确认的服务请求 (0xA0) 消息。 


alert tcp ( \
msg: "PROTOCOL-SCADA MMS svc get_name_list"; \
flow: to_server, established; \
content:"|A0|"; \
mms_func: get_name_list; \
sid:1000000; \
)

以下入侵规则示例设置 mms_fuc 规则选项,并在 GetNameList 消息与功能编号匹配时发出警报。 


alert tcp ( \
msg: "PROTOCOL-SCADA MMS svc get_name_list"; \
flow: to_server, established; \
content:"|A0|"; \
mms_func:1; \
sid:1000001; \
)