6.24. Kerberos关键字¶
6.24.1. krb5_msg_type¶
Kerberos消息类型(整数)。
值在RFC4120中定义。共同的价值观是
10(按要求)
11(代表)
12(TGS-REQ)
13(TGS-REP)
14(AP-REQ)
15(亚太地区代表)
30(错误)
语法::
krb5_msg_type:<number>
签名示例:
alert krb5 any any -> any any (msg:"Kerberos 5 AS-REQ message"; krb5_msg_type:10; sid:3; rev:1;)
6.24.2. krb5_cname¶
票据中提供的kerberos客户机名称(用于as-req和tgs-req消息)。
如果kerberos消息中的客户机名称由多个部分组成,则将对每个部分的名称进行比较,如果任何部分相同,则匹配将成功。
比较区分大小写。
语法::
krb5_cname; content:"name";
签名示例:
alert krb5 any any -> any any (msg:"Kerberos 5 des server name"; krb5_cname; content:"des"; sid:4; rev:1;)
krb5_cname
是“粘性缓冲区”。
krb5_cname
可用作 fast_pattern
.
6.24.3. krb5_sname¶
在票据(用于as-req和tgs-req消息)或错误消息中提供的kerberos服务器名称。
如果kerberos消息中的服务器名由多个部分组成,则将对每个部分的名称进行比较,如果任何部分相同,则匹配将成功。
比较区分大小写。
语法::
krb5_sname; content:"name";
签名示例:
alert krb5 any any -> any any (msg:"Kerberos 5 krbtgt server name"; krb5_sname; content:"krbtgt"; sid:5; rev:1;)
krb5_sname
是“粘性缓冲区”。
krb5_sname
可用作 fast_pattern
.
6.24.4. krb5_err_code¶
Kerberos错误代码(整数)。此字段仅在Kerberos错误消息中匹配。
有关错误代码列表,请参阅RFC4120第7.5.9节。
语法::
krb5_err_code:<number>
签名示例:
alert krb5 any any -> any any (msg:"Kerberos 5 error C_PRINCIPAL_UNKNOWN"; krb5_err_code:6; sid:6; rev:1;)
6.24.5. krb5.weak_加密(事件)¶
如果服务器选择的加密参数较弱或已弃用,则引发的事件。例如,使用小于128的密钥大小,或使用不推荐使用的密码(如des)。
语法::
app-layer-event:krb5.weak_encryption
签名示例:
alert krb5 any any -> any any (msg:"SURICATA Kerberos 5 weak encryption parameters"; flow:to_client; app-layer-event:krb5.weak_encryption; classtype:protocol-command-decode; sid:2226001; rev:1;)
6.24.6. krb5.格式错误的_数据(事件)¶
发生协议解码错误时引发的事件。
语法::
app-layer-event:krb5.malformed_data
签名示例:
alert krb5 any any -> any any (msg:"SURICATA Kerberos 5 malformed request data"; flow:to_server; app-layer-event:krb5.malformed_data; classtype:protocol-command-decode; sid:2226000; rev:1;)