6.20. DCERPC关键字

以下关键字可用于匹配UDP、TCP和SMB上的DCERPC数据包的报头和有效负载中的字段。

6.20.1. dcerpc.iface

与DCERPC报头中接口UUID的值匹配。如果 any_frag 如果给出了选项,则将对所有片段进行匹配。如果不是,匹配将只发生在第一个片段上。

关键字的格式:

dcerpc.iface:<uuid>;
dcerpc.iface:<uuid>,[>,<,!,=]<iface_version>;
dcerpc.iface:<uuid>,any_frag;
dcerpc.iface:<uuid>,[>,<,!,=]<iface_version>,any_frag;

实例:

dcerpc.iface:367abb81-9844-35f1-ad32-98f038001003;
dcerpc.iface:367abb81-9844-35f1-ad32-98f038001003,!10;
dcerpc.iface:367abb81-9844-35f1-ad32-98f038001003,any_frag;
dcerpc.iface:367abb81-9844-35f1-ad32-98f038001003,>1,any_frag;

ET开放规则示例:

警报TCPANY->$HOME_NET ANY(消息:“ET NETBIOS DCERPC WMI远程进程执行”;FLOW:TO_SERVER,已建立;dce_iface:00000143-0000-0000-c000-000000000046;类类型:BAD-未知;SID:2027167;版本:1;元数据:受影响的产品WINDOWS_XP_VISTA_7_8_10_SERVER_32_64_位,攻击_目标客户端_端点,CREATED_AT2019_04_09,部署内部,以前的_CATEGORY NET BIOS,Signature_Severity信息

6.20.2. dcerpc.opnum

匹配DCERPC报头中接口内的一个或多个操作编号和/或操作编号范围。

关键字的格式:

dcerpc.opnum:<u16>;
dcerpc.opnum:[>,<,!,=]<u16>;
dcerpc.opnum:<u16>,<u16>,<u16>....;
dcerpc.opnum:<u16>-<u16>;

实例:

dcerpc.opnum:15;
dcerpc.opnum:>10;
dcerpc.opnum:12,24,62,61;
dcerpc.opnum:12,18-24,5;
dcerpc.opnum:12-14,12,121,62-78;

6.20.3. dcerpc.stub_data

与给定DCERPC数据包中的存根数据匹配。它是一个“粘性缓冲区”。

例子::

dcerpc.stub_data; content:"123456";

6.20.4. 附加信息

有关协议的更多信息,请访问: