6.24. Kerberos关键字

6.24.1. krb5_msg_type

Kerberos消息类型(整数)。

值在RFC4120中定义。共同的价值观是

  • 10(按要求)

  • 11(代表)

  • 12(TGS-REQ)

  • 13(TGS-REP)

  • 14(AP-REQ)

  • 15(亚太地区代表)

  • 30(错误)

语法::

krb5_msg_type:<number>

签名示例:

alert krb5 any any -> any any (msg:"Kerberos 5 AS-REQ message"; krb5_msg_type:10; sid:3; rev:1;)

6.24.2. krb5_cname

票据中提供的kerberos客户机名称(用于as-req和tgs-req消息)。

如果kerberos消息中的客户机名称由多个部分组成,则将对每个部分的名称进行比较,如果任何部分相同,则匹配将成功。

比较区分大小写。

语法::

krb5_cname; content:"name";

签名示例:

alert krb5 any any -> any any (msg:"Kerberos 5 des server name"; krb5_cname; content:"des"; sid:4; rev:1;)

krb5_cname 是“粘性缓冲区”。

krb5_cname 可用作 fast_pattern .

6.24.3. krb5_sname

在票据(用于as-req和tgs-req消息)或错误消息中提供的kerberos服务器名称。

如果kerberos消息中的服务器名由多个部分组成,则将对每个部分的名称进行比较,如果任何部分相同,则匹配将成功。

比较区分大小写。

语法::

krb5_sname; content:"name";

签名示例:

alert krb5 any any -> any any (msg:"Kerberos 5 krbtgt server name"; krb5_sname; content:"krbtgt"; sid:5; rev:1;)

krb5_sname 是“粘性缓冲区”。

krb5_sname 可用作 fast_pattern .

6.24.4. krb5_err_code

Kerberos错误代码(整数)。此字段仅在Kerberos错误消息中匹配。

有关错误代码列表,请参阅RFC4120第7.5.9节。

语法::

krb5_err_code:<number>

签名示例:

alert krb5 any any -> any any (msg:"Kerberos 5 error C_PRINCIPAL_UNKNOWN"; krb5_err_code:6; sid:6; rev:1;)

6.24.5. krb5.weak_加密(事件)

如果服务器选择的加密参数较弱或已弃用,则引发的事件。例如,使用小于128的密钥大小,或使用不推荐使用的密码(如des)。

语法::

app-layer-event:krb5.weak_encryption

签名示例:

alert krb5 any any -> any any (msg:"SURICATA Kerberos 5 weak encryption parameters"; flow:to_client; app-layer-event:krb5.weak_encryption; classtype:protocol-command-decode; sid:2226001; rev:1;)

6.24.6. krb5.格式错误的_数据(事件)

发生协议解码错误时引发的事件。

语法::

app-layer-event:krb5.malformed_data

签名示例:

alert krb5 any any -> any any (msg:"SURICATA Kerberos 5 malformed request data"; flow:to_server; app-layer-event:krb5.malformed_data; classtype:protocol-command-decode; sid:2226000; rev:1;)