Prima di tutto renditi conto quando parli di un IDS stiamo parlando di un dispositivo passivo. Con un dispositivo passivo si registrano / avvisano normalmente e nient'altro. D'altro canto, se questo dispositivo era un IPS, è qui che si verifica il blocco attivo di "shunning" o qualsiasi altra cosa sia stata creata per farlo.
Proprio come le tecnologie anti-virus, esistono due tipi di tecnologie di rilevamento della rete basate sulla firma (ad esempio Snort) e basate su euristica (ad esempio Fireye kinda! ).
Per quanto riguarda il rilevamento di attività anomale al livello 2, è raro che IDS / IPS si occupi di questo. Ciò tuttavia non significa che qualcosa sulla rete possa monitorare questo invece. Quel qualcosa è solitamente una soluzione NAC (Network Access Control) (ad es. FreeNAC) ed è possibile che ci sia una suite di strumenti che può essere eseguita insieme a IPC / IDS e fa questo, ma come una parte diversa di un prodotto (vedi palo alto ).
Con tutto ciò che viene detto ai punti di contatto di Internet ci sono molti modi per imprimere passivamente le impronte digitali di un dispositivo in base al suo traffico. Infatti, Nessus lo fa davvero molto bene, e in aggiunta, se hai mai giocato con pOf, lo hai già fatto da solo. Cose come richieste web, tentativi di connessione smb e altri bit di traffico aiutano questi sistemi a mettere insieme un po 'di informazioni passivamente.
Vedi questa pagina di Nessus che spiega di più.
link