Telnet 检查器

Telnet 检查器概述

类型

检查器(服务)

使用方式

检测

实例类型

多实例

所需其他检查器

stream_tcp

已启用

false

Telnet 是一种应用层协议,可在 TCP 上创建 8 位字节通信通道。Telnet 使用网络虚拟终端在客户端和远程主机之间进行通信。Telnet 服务器使用 TCP 端口 23.

telnet 检查器通过检测 Telnet 命令序列和选项协商将 Telnet 数据缓冲区规范化。telnet 检查器会消除数据包中的 Telnet 命令序列 (RFC 854)。Telnet 检查器通过检查 Telnet 加密选项 (RFC 2946) 来检测加密 Telnet 连接。

Telnet 检查器参数

Telnt 服务配置

绑定程序 检查器定义 Telnet 服务 配置。有关详细信息,请参阅绑定程序检查器概述

示例: 
[
    {
        "when": {
            "service": "telnet",
            "role": any
        },
        "use": {
            "type": "telnet"
        }
    }
]

ayt_attack_thresh

指定Are You There (AYT) telnet 命令的最大连续次数。 Telnet 检查器检测到超过 ayt_attack_thresh 值的连续 AYT 命令数,并发出警报。 ayt_attack_thresh 参数修复与 telnet 的 BSD 实施相关的特定漏洞。指定 -1 以禁用 ayt_attack_thresh 参数。您可以为此参数启用规则 126:1 到 生成事件并在内联部署中丢弃攻击性数据包

类型: 整数

有效范围: -12,147,483,647(最大 31)

默认值: -1

encrypted_traffic

指定是否检测加密的 Telnet 流量。您可以为此参数启用规则 126:2 更改为 生成事件并在内联部署中丢弃攻击性数据包

类型: boolean

有效值: truefalse

默认值: false

规范化

指定是否规范 Telnet 流量。Telnet 检查器通过消除 Telnet 转义序列来规范化 Telnet 流量。如果已启用的入侵规则指定 原始 内容参数,则该规则将忽略 telnet 检查器创建的规范化 telnet 缓冲区。

类型: boolean

有效值: truefalse

默认值: false

Telnet 检查器规则

启用 telnet 检查器 生成事件并在内联部署中丢弃攻击性数据包

表 1. Telnet 检查器规则

GID:SID

Rule Message

126:1

连续 Telnet AYT 命令超出阈值

126:2

Telnet 流量已加密

126:3

不带子协商结束的 Telnet 子协商开始命令

Telnet 检查器入侵规则选项

Telnet 检查器没有任何入侵规则选项。