Come si può impronte digitali a un IPS?

Naviga le tue risposte
8

Non sto cercando di risolvere un problema tecnico attuale ma mi sono imbattuto in questo e mi sono chiesto come è fatto. I sistemi di prevenzione delle intrusioni dovrebbero consentire a tutto il traffico di rete di passare e implementare i metodi di rilevamento delle intrusioni per rilevare e arrestare i pacchetti con payload dannosi. Penso che un IPS non crei alcun messaggio di risposta (che potrebbe essere usato per impronte digitali) ma piuttosto passa il pacchetto o no. Allora come può essere "impronta digitale"?

Forse un primo suggerimento sarebbe quello di inviare pacchetti appositamente predisposti a un server (ad esempio web) che conosci connesso oltre l'IPS e basato sulle risposte del server per dedurre il motore / le regole IPS. Ma è pratico? C'è un modo "corretto" per farlo?

Saluti,

Georgios

    
posta George 30.03.2011 - 14:18
fonte

3 risposte

3

Puoi leggere ulteriori informazioni su Rilevamento filtro attivo sul sito Web PureHacking. Lo strumento di cui stanno discutendo si chiama osstmm-afd , disponibile per il download come tarball di origine o script NASL. Tuttavia, poiché quel collegamento non funziona, ti suggerisco di cercare altrove questo strumento per il momento o di inviare un'email / contattare PureHacking.

    
risposta data 04.04.2011 - 21:59
fonte
3

Probabilmente ti interesserebbe la ricerca di Simple Nomad. Ha svolto numerose ricerche in questo settore e da tempo si occupa di rilevamento delle impronte digitali dei dispositivi IPS.

Qualsiasi proxy in linea che apporta modifiche al traffico può essere impresso. Comprendere le firme usate dall'IPS è importante per creare pacchetti per contrastarle o per validare un IPS in streaming modificando i pacchetti.

    
risposta data 30.03.2011 - 17:00
fonte
2

L'invio di diversi tipi di pacchetti, compresi quelli falsi, e la valutazione dei valori di ritorno è il modo in cui gli stack IP vengono rilevati con le impronte digitali. Allo stesso modo, per i firewall delle applicazioni Web, " WAFW00F " farà lo stesso. L'impronta digitale di un IPS non è diversa. Puoi trovare le differenze tra ciò che i sistemi IPS fanno per determinati pacchetti / attacchi e usarli per determinare quello che probabilmente stai guardando.

Forse un IPS invia un RST dove un altro scende, ecc.

    
risposta data 30.03.2011 - 15:22
fonte

Leggi altre domande sui tag

Creazione del tunnel con la maggior parte delle porte chiuse? Memorizza in modo sicuro le informazioni di autenticazione di terze parti