Kerberos 关键词 ================= krb5_msg_type ------------- 该关键词用于通过消息类型(整数)匹配Kerberos消息。可以指定RFC4120中定义的以下值: * 10 (AS-REQ) * 11 (AS-REP) * 12 (TGS-REQ) * 13 (TGS-REP) * 30 (ERROR) 语法:: krb5_msg_type:<数字> 规则示例:: alert krb5 any any -> any any (msg:"Kerberos 5 AS-REQ消息"; krb5_msg_type:10; sid:3; rev:1;) alert krb5 any any -> any any (msg:"Kerberos 5 AS-REP消息"; krb5_msg_type:11; sid:4; rev:1;) alert krb5 any any -> any any (msg:"Kerberos 5 TGS-REQ消息"; krb5_msg_type:12; sid:5; rev:1;) alert krb5 any any -> any any (msg:"Kerberos 5 TGS-REP消息"; krb5_msg_type:13; sid:6; rev:1;) alert krb5 any any -> any any (msg:"Kerberos 5 ERROR消息"; krb5_msg_type:30; sid:7; rev:1;) .. 注意:: 目前不支持AP-REQ和AP-REP,因为这些消息嵌入在其他应用协议中。 krb5_cname ---------- Kerberos客户端名称,在票据中提供(用于AS-REQ和TGS-REQ消息)。 如果Kerberos消息中的客户端名称由多个部分组成,则名称会与每个部分进行比较,只要有任何部分相同就会匹配成功。 比较区分大小写。 语法:: krb5_cname; content:"名称"; 规则示例:: alert krb5 any any -> any any (msg:"Kerberos 5 des服务器名称"; krb5_cname; content:"des"; sid:4; rev:1;) ``krb5_cname`` 是一个'sticky buffer'。 ``krb5_cname`` 可以用作 ``fast_pattern``。 ``krb5.cname`` 支持多缓冲区匹配,参见 :doc:`multi-buffer-matching`。 krb5_sname ---------- Kerberos服务器名称,在票据中提供(用于AS-REQ和TGS-REQ消息)或在错误消息中提供。 如果Kerberos消息中的服务器名称由多个部分组成,则名称会与每个部分进行比较,只要有任何部分相同就会匹配成功。 比较区分大小写。 语法:: krb5_sname; content:"名称"; 规则示例:: alert krb5 any any -> any any (msg:"Kerberos 5 krbtgt服务器名称"; krb5_sname; content:"krbtgt"; sid:5; rev:1;) ``krb5_sname`` 是一个'sticky buffer'。 ``krb5_sname`` 可以用作 ``fast_pattern``。 ``krb5.sname`` 支持多缓冲区匹配,参见 :doc:`multi-buffer-matching`。 krb5_err_code ------------- Kerberos错误代码(整数)。该字段仅在Kerberos错误消息中匹配。 关于错误代码列表,请参考RFC4120第7.5.9节。 语法:: krb5_err_code:<数字> 规则示例:: alert krb5 any any -> any any (msg:"Kerberos 5错误 C_PRINCIPAL_UNKNOWN"; krb5_err_code:6; sid:6; rev:1;) krb5.weak_encryption (事件) ---------------------------- 当服务器选择的加密参数较弱或已弃用时触发的事件。例如使用小于128位的密钥大小,或使用已弃用的加密算法如DES。 语法:: app-layer-event:krb5.weak_encryption 规则示例:: alert krb5 any any -> any any (msg:"SURICATA Kerberos 5弱加密参数"; flow:to_client; app-layer-event:krb5.weak_encryption; classtype:protocol-command-decode; sid:2226001; rev:1;) krb5.malformed_data (事件) --------------------------- 在协议解码错误时触发的事件。 语法:: app-layer-event:krb5.malformed_data 规则示例:: alert krb5 any any -> any any (msg:"SURICATA Kerberos 5畸形请求数据"; flow:to_server; app-layer-event:krb5.malformed_data; classtype:protocol-command-decode; sid:2226000; rev:1;) krb5.ticket_encryption ---------------------- Kerberos票据加密(枚举)。 关于加密类型列表,请参考RFC3961第8节。 语法:: krb5.ticket_encryption: (!)"weak" 或 以空格/逗号分隔的整数或加密类型字符串列表 规则示例:: alert krb5 any any -> any any (krb5.ticket_encryption: weak; sid:1;) alert krb5 any any -> any any (krb5.ticket_encryption: 23; sid:2;) alert krb5 any any -> any any (krb5.ticket_encryption: rc4-hmac,rc4-hmac-exp; sid:3;)