1.krb5_msg_type
Kerberos消息类型(整数)。在RFC4120中定义值,共同的值是:
10 (AS-REQ)
11 (AS-REP)
12 (TGS-REQ)
13 (TGS-REP)
14 (AP-REQ)
15 (AP-REP)
30 (ERROR)
语法:krb5_msg_type:<number>
示例:
alertkrb5anyany->anyany(msg:"Kerberos 5 AS-REQ message";krb5_msg_type:10;sid:3;rev:1;)
2.krb5_cname
票证中提供的Kerberos客户端名称(用于AS-REQ和TGS-REQ消息)。
如果Kerberos消息中的客户端名称由多个部分组成,则将名称与每个部分进行比较,如果任何部分相同,则匹配将成功。
比较区分大小写。
语法:krb5_cname;content:"name";
示例:
alertkrb5anyany->anyany(msg:"Kerberos 5 des server name";krb5_cname;content:"des";sid:4;rev:1;)
说明:
krb5_cname 是一个'粘性缓冲区'。
krb5_cname可以用作fast_pattern。
3. krb5_sname
Kerberos服务器名称,在故障单中提供(对于AS-REQ和TGS-REQ消息)或在错误消息中提供。
如果Kerberos消息中的服务器名称由多个部分组成,则将名称与每个部分进行比较,如果相同,则匹配将成功。
比较区分大小写。
语法:krb5_sname;content:"name";
示例:
alertkrb5anyany->anyany(msg:"Kerberos 5 krbtgt server name";krb5_sname;content:"krbtgt";sid:5;rev:1;)
说明:
krb5_sname 是一个'粘性缓冲区'。
krb5_sname可以用作fast_pattern。
4. krb5_err_code
Kerberos错误代码(整数)。此字段仅在Kerberos错误消息中匹配。
有关错误代码的列表,参考RFC4120 7.5.9部分。
语法:krb5_err_code:<number>
示例:
alertkrb5anyany->anyany(msg:"Kerberos 5 error C_PRINCIPAL_UNKNOWN";krb5_err_code:6;sid:6;rev:1;)
5.krb5.weak_encryption(event)
如果服务器选择的加密参数较弱或已弃用,则引发事件。例如,使用小于128的密钥大小,或使用DES等弃用的密码。
语法:app-layer-event:krb5.weak_encryption
示例:
alertkrb5anyany->anyany(msg:"SURICATA Kerberos 5 weak encryption parameters";flow:to_client;app-layer-event:krb5.weak_encryption;classtype:protocol-command-decode;sid:2226001;rev:1;)
6.krb5.malformed_data(event)
在协议解码错误的情况下引发的事件。
语法:
app-layer-event:krb5.malformed_data
示例:
alertkrb5anyany->anyany(msg:"SURICATA Kerberos 5 malformed request data";flow:to_server;app-layer-event:krb5.malformed_data;classtype:protocol-command-decode;sid:2226000;rev:1;)
网友评论