capacità IDS di rete per il rilevamento degli attacchi [chiuso]

Naviga le tue risposte
-6

Un Network Intrusion Detection System (NIDS) (pattern matching, analisi del protocollo o analisi del comportamento) in grado di rilevare l'overflow del buffer nel traffico di rete?

    
posta Uptown 06.02.2015 - 14:42
fonte

1 risposta

2

Un NIDS non sarebbe in grado di rilevare un buffer overflow per un paio di motivi.

  1. È impossibile sapere quale sia la piattaforma di destinazione per il carico utile; strettamente basato sul traffico di rete.
  2. Gli exploit a livello di rete molto probabilmente indirizzano alcune applicazioni o demoni dall'altra parte. È probabile che l'overflow del buffer vada a bersaglio di una vulnerabilità specifica, e anche questo non è possibile conoscerlo osservando strettamente il traffico di rete.

Supponiamo che tu stia cercando solo applicazioni di destinazione x86. L'IDS dovrebbe smontare i byte (supposto essere un payload x86) e cercare automaticamente il comportamento di overflow del buffer. Ciò presuppone che il carico utile non sia crittografato o compresso. Nel qual caso questo processo è tutto per niente.

Anche con questi presupposti la quantità di tempo per eseguirli quel tipo di analisi su ogni pacchetto che entra in un sistema farebbe cessare il sistema. Non è solo un compito possibile rilevare gli attacchi specifici che potrebbe comportare un carico utile dannoso. Contrastare pacchetti maligni e registrare tali pacchetti è il meglio che può fare. E l'analisi successiva può essere eseguita a mano o con altri strumenti.

    
risposta data 06.02.2015 - 17:43
fonte

Leggi altre domande sui tag

hashing, salatura - ma anche zucchero e pepe? Uncrackable? [duplicare] Come forza bruta questo token in php, se è possibile