POP 检查器

POP 检查器概述

类型

检查器(服务)

使用方式

检测

实例类型

多实例

所需其他检查器

stream_tcp

已启用

true

邮局协议版本 3 (POP3) 使邮件客户端能够从远程 POP3 服务器检索邮件。POP3 服务器使用 TCP 端口 110 进行不安全的会话,或将 TCP 端口 995 用于基于 SSL/TLS 的 POP。

POP 检查器可检测 POP 流量并分析 POP 命令和响应。

POP 检查器可以识别 POP 邮件的命令、信头和正文部分,并提取和解码多用途互联网邮件扩展 (MIME) 附件。 POP 检查器处理 MIME 附件,包括多个附件和跨越多个数据包的大型附件。

POP 检查器识别 POP 消息并将其添加到 Snort 允许列表。启用后,入侵规则将针对异常 POP 流量生成事件。

POP 检查器参数

如果 MIME 邮件附件不要求解码,解码或提取涵盖多个附件(如果有)以及存在于多个数据包中的大型附件。

b_64_decode_detectionbitencen_decode_lengthqp_decode_lengthuu_decode_length 参数的值在以下情况下不同时,将使用最大值:

  • 默认网络分析策略

  • 由同一访问控制策略中的网络分析规则调用的任何其他自定义网络分析策略

POP 服务配置

绑定程序 检查器定义 POP 服务 配置。有关详细信息,请参阅绑定程序检查器概述

示例: 
[
    {
        "when": {
           "service": "pop",
           "role": any
        },
        "use": {
           "type": "pop"
        }
    }
]

b_64_decode_depth

指定要从每个 Base64 编码的 MIME 邮件附件中提取和解码的最大字节数。可以指定小于 65535 的整数,或指定 0 以禁用解码。指定 -1 以对要解码的字节数不设限制。

您可以启用规则 142:4 以生成此参数的事件,并在内联部署中当解码失败时丢弃违规数据包。

类型: 整数

有效范围: -165535

默认值: -1

bitenc_decode_depth

指定要从每个非编码的 MIME 邮件附件中提取的最大字节数。可以指定一个小于 65535 的整数,或指定 0 以禁用未编码 MIME 附件的提取。指定 -1 对要提取的字节数不设限制。这些附件类型包括 7 位、8 位、二进制以及各种多部分内容类型(例如,纯文本、JPEG 和 PNG 图像、MP4 文件等)。

类型: 整数

有效范围: -165535

默认值: -1

decompress_pdf

指定是否解压缩 MIME 附件中的 application/pdf (PDF) 文件。

您可以启用规则 142:8 以生成此参数的事件,并在内联部署中,丢弃违规数据包。

类型: boolean

有效值: truefalse

默认值: false

decompress_swf

指定是否解压缩 MIME 附件中的 application/vnd.adobe.flash-movie (SWF) 文件。

您可以启用规则 142:8 以生成此参数的事件,并在内联部署中,丢弃违规数据包。

类型: boolean

有效值: truefalse

默认值: false

decompress_vba

指定是否解压缩 MIME 附件中的 Microsoft Office Visual Basic for Applications 宏文件。

类型: boolean

有效值: truefalse

默认值: false

decompress_zip

指定是否解压缩 MIME 附件中的 application/zip (ZIP) 文件。

您可以启用规则 142:8 以生成此参数的事件,并在内联部署中,丢弃违规数据包。

类型: boolean

有效值: truefalse

默认值: false

qp_decode_depth

指定要从每个 Quoted-Printable (QP) 编码的 MIME 邮件附件中提取和解码的最大字节数。可以指定小于 65535 的整数,或指定 0 以禁用解码。指定 -1 以对要解码的字节数不设限制。

您可以启用规则 142:5 以生成此参数的事件,并且在内联部署中,当解码失败(由于编码不正确或数据损坏)时,丢弃违规的数据包。

类型: 整数

有效范围: -165535

默认值: -1

uu_decode_depth

指定要从每个 Unix-to-Unix 编码(UuEncode 编码)的 MIME 邮件附件中提取和解码的最大字节数。可以指定小于 65535 的整数,或指定 0 以禁用解码。指定 -1 以对要解码的字节数不设限制。

您可以启用规则 142:7 以生成此参数的事件,并且在内联部署中,当解码失败(由于编码不正确或数据损坏)时,丢弃违规的数据包。

类型: 整数

有效范围: -165535

默认值: -1

POP 检查器规则

生成事件并在内联部署中丢弃攻击性数据包启用 pop 检查器规则。

表 1. POP 检查器规则

GID:SID

Rule Message
142:1

未知 POP3 命令
142:2

未知 POP3 响应
142:4

base64 解码失败
142:5

Quoted-Printable 解码失败
142:7

Unix-to-Unix 解码失败
142:8

文件解压缩失败

POP 检查器入侵规则选项

vba_data

将检测光标设置为 Microsoft Office Visual Basic for Applications 宏缓冲区。

语法: vba_data;

示例: vba_data;