规范器检查器

规范器检查器概述

类型

检查器(数据包)

使用方式

情景

实例类型

网络

所需其他检查器

已启用

true

规范器 检查器检测并删除数据包中的协议异常。 规范器 检查器可以在内联部署中最大限度地减少攻击者创建数据包以规避检测的可能性。


在从网络发送流量前,必须使用路由接口、交换接口或透明接口或者内联接口对向受管设备部署相关配置。

您可以指定数据包中的 IPv4、IPv6、ICMPv4、ICMPv6 和 TCP 协议的任意组合的规范化。规范器 检查器执行每个数据包的规范化操作并处理大多数规范化操作。stream_tcp 检查器处理 TCP 状态相关的数据包和流规范化,包括 TCP 负载规范化。

在进行解码后会立即执行内联规范化,直至其他检查器进行处理。规范化从内数据包层继续执行到外数据包层。

规范器 检查器不会生成事件。 规范器 检查器会准备数据包,以供其他检查器和在内联部署中使用。检查器有助于确保系统处理的数据包与网络中主机接收的数据包相同。

规范器检查器参数

找到配置中的 规范器 范围,以设置 规范器 检查器参数。

ip6

清除 IPv6 流量中的 Reserved 标志。

类型: boolean

有效值:truefalse

默认值:false

icmp4

清除 ICMPv4 流量中的 Reserved 标志。

类型: boolean

有效值: truefalse

默认值:false

icmp6

清除 ICMPv6 流量中的 Reserved 标志。

类型: boolean

有效值: truefalse

默认值: false

ip4.base

清除“IPv4 标志”信头字段及传送参数的一位 保留 子字段。修复紧急指针/标志问题。我们建议您启用 ip4.base

类型: boolean

有效值: truefalse

默认值: false

ip4.df

清除“IPv4 标志”信头字段的一位 不分片 子字段。启用 ip4.df ,以允许下游路由器对数据包进行分片,而不是丢弃它们。 ip4.df 参数可以防止造成数据包丢弃的规避。

类型: boolean

有效值: truefalse

默认值: false

ip4.rf

清除传入数据包上的 保留 位。

类型: boolean

有效值: truefalse

默认值: false

ip4.tos

清除一个字节的 差分服务 字段(以前称为 服务类型)。

类型: boolean

有效值: truefalse

默认值: false

ip4.trim

将具有多余负载的数据包截断至 IP 报头中指定的数据报长度加上第 2 层(例如以太网)报头,但是不截断为小于最小帧长度。

类型: boolean

有效值: truefalse

默认值: false

tcp.base

清除 TCP 信头的单位 保留 子字段以及选项填充字节。修复紧急指针或标志问题。

类型: boolean

有效值: truefalse

默认值: false

tcp.block

指定在 TCP 规范化期间是否丢弃数据包。

启用此选项时,Snort 阻止异常 TCP 数据包,这些数据包在规范化的情况下会无效,并可能受到接收主机的阻止。例如,Snort 阻止后续传输到已建立的会话上的任何 SYN 数据包。

无论是否启用规则,Snort 都会丢弃与以下任何 TCP 数据流检查器规则匹配的任何数据包:

  • 129:1

  • 129:3

  • 129:4

  • 129:6

  • 129:8

  • 129:11

  • 129:14 至 129:19

类型: boolean

有效值: truefalse

默认值: false

tcp.ecn

显式堵塞通知 (ECN) 标志启用逐个数据包或逐条数据流规范化。

  • 指定 数据包 以逐个数据包清除 ECN 标志(无论协商与否)。

  • 选择 以逐条数据流清除 ECN 标志(如果未协商 ECN 的使用)。如果指定 ,则必须在 TCP 数据流检查器中启用 tcp.require_3whs ,才能进行规范化。

  • 指定 off 以禁用 tcp.ecn 参数。

类型: enum

有效值: offpacketstream

默认值: off

tcp.ips

启用“TCP 数据”(TCP Data) 字段的规范化以确保重传数据的一致性。无法正确重组的所有数据段都会被丢弃。

类型: boolean

有效值: truefalse

默认值: true

tcp.opts

指定是否规范化流量中允许的特定 TCP 选项。Snort 不对您明确允许的选项进行规范化。Snort 不对您明确允许的选项进行规范化。

Snort 总是允许以下 TCP 选项,因为它们通常用于优化 TCP 性能:

  • 最大分片大小 (MSS)

  • 窗口比例

  • 时间戳 TCP

Snort 不会自动允许其他不太常用的选项。

启用 tcp.opts 后,TCP 流量规范化包括以下操作:

  • 除 MSS、“窗口比例”、“时间戳”及任何明确允许的选项以外,所有选项字节都设置为“无操作”(TCP 选项 1)。

  • 如果时间戳存在但无效,或者有效但未协商,则将时间戳八位元设置为“无操作”。

  • 如果时间戳已协商但不存在,则阻止数据包

  • 如果未设置 Acknowledgment (ACK) 控制位,则清除“时间戳回应答复 (TSecr)”选项字段。

  • 如果未设置 SYN 控制位,则将 MSS 和 Window Scale 选项设置为“无操作” (TCP 选项 1)。

类型: boolean

有效值: truefalse

默认值: false

tcp.pad

清除任何选项填充字节。

类型: boolean

有效值: truefalse

默认值: false

tcp.req_pay

如果没有负载,则清除 TCP 信头 紧急指针 字段和紧急 URG 控制位。

类型: boolean

有效值: truefalse

默认值: false

tcp.req_urg

如果未设置 TCP 信头紧急 (URG) 控制位,则清除 16 位 TCP 信头 紧急指针 字段。

类型: boolean

有效值: truefalse

默认值: false

tcp.req_urp

如果未设置 TCP 信头紧急指针字段,则清除 TCP 信头紧急 (URG)控制字段。

类型: boolean

有效值: truefalse

默认值: false

tcp.resv

清除 TCP 信头中的 保留 位。

类型: boolean

有效值: truefalse

默认值: false

tcp.trim_mss

如果负载长度大于 MSS,则将 TCP 数据 字段修剪为“最大分片大小” (MSS)。

类型: boolean

有效值: truefalse

默认值: false

tcp.tim_rst

清除 RST 数据包中的数据。

类型: boolean

有效值: truefalse

默认值: false

tcp.trun_syn

删除 TCP 同步 (SYN) 数据包中的数据。

类型: boolean

有效值: truefalse

默认值: false

tcp.trim_win

将 TCP 数据 字段修剪为在 窗口 字段中指定的大小。

类型: boolean

有效值: truefalse

默认值: false

tcp.urp

如果指针大于负载长度,则将两字节的 TCP 信头 紧急指针 字段设置为负载长度。

类型: boolean

有效值: truefalse

默认值: false

规范器检查器规则

规范器 检查器没有任何关联的规则。

规范器检查器入侵规则选项

规范器 检查器没有任何入侵规则选项。