6.20. DCERPC关键字¶
以下关键字可用于匹配UDP、TCP和SMB上的DCERPC数据包的报头和有效负载中的字段。
6.20.1. dcerpc.iface¶
与DCERPC报头中接口UUID的值匹配。如果 any_frag 如果给出了选项,则将对所有片段进行匹配。如果不是,匹配将只发生在第一个片段上。
关键字的格式:
dcerpc.iface:<uuid>;
dcerpc.iface:<uuid>,[>,<,!,=]<iface_version>;
dcerpc.iface:<uuid>,any_frag;
dcerpc.iface:<uuid>,[>,<,!,=]<iface_version>,any_frag;
实例:
dcerpc.iface:367abb81-9844-35f1-ad32-98f038001003;
dcerpc.iface:367abb81-9844-35f1-ad32-98f038001003,!10;
dcerpc.iface:367abb81-9844-35f1-ad32-98f038001003,any_frag;
dcerpc.iface:367abb81-9844-35f1-ad32-98f038001003,>1,any_frag;
ET开放规则示例:
警报TCPANY->$HOME_NET ANY(消息:“ET NETBIOS DCERPC WMI远程进程执行”;FLOW:TO_SERVER,已建立;dce_iface:00000143-0000-0000-c000-000000000046;类类型:BAD-未知;SID:2027167;版本:1;元数据:受影响的产品WINDOWS_XP_VISTA_7_8_10_SERVER_32_64_位,攻击_目标客户端_端点,CREATED_AT2019_04_09,部署内部,以前的_CATEGORY NET BIOS,Signature_Severity信息
6.20.2. dcerpc.opnum¶
匹配DCERPC报头中接口内的一个或多个操作编号和/或操作编号范围。
关键字的格式:
dcerpc.opnum:<u16>;
dcerpc.opnum:[>,<,!,=]<u16>;
dcerpc.opnum:<u16>,<u16>,<u16>....;
dcerpc.opnum:<u16>-<u16>;
实例:
dcerpc.opnum:15;
dcerpc.opnum:>10;
dcerpc.opnum:12,24,62,61;
dcerpc.opnum:12,18-24,5;
dcerpc.opnum:12-14,12,121,62-78;
6.20.3. dcerpc.stub_data¶
与给定DCERPC数据包中的存根数据匹配。它是一个“粘性缓冲区”。
例子::
dcerpc.stub_data; content:"123456";
6.20.4. 附加信息¶
有关协议的更多信息,请访问: