IPSはどのようにフィンガープリントできますか?
私は現在の技術的な問題を解決しようとはしていませんが、これに遭遇し、それがどのように行われるのか疑問に思っていました。侵入防止システムは、すべてのネットワークトラフィックを通過させ、侵入検出メソッドを実装して、悪意のあるペイロードを持つパケットを検出および停止することになっています。 IPSはそれ自体では応答メッセージを作成せず(フィンガープリントに使用できます)、パケットを渡すかどうかを判断します。それでは、どのように「フィンガープリント」することができますか? ?
おそらく最初の提案は、IPSを超えて接続されていることがわかっている(たとえばWeb)サーバーに特別に細工されたパケットを送信し、サーバーの回答に基づいてIPS engine/rules。しかし、これは実用的ですか?それを行う「適切な」方法はありますか?
乾杯、
ジョージオ
PureHackingのWebサイトで Active Filter Detection の詳細を確認できます。彼らが議論しているツールは osstmm-afd と呼ばれ、ソースのtarballまたはNASLスクリプトとしてダウンロードできます。ただし、そのリンクが機能していないため、今のところ他の場所でこのツールを検索するか、PureHackingにメールまたは連絡することをお勧めします。
あなたはおそらくSimple Nomadによる研究に興味があるでしょう。彼はこの分野で多くの研究を行い、IPSデバイスのフィンガープリントを作成しています。
トラフィックに変更を加えるすべてのインラインプロキシはフィンガープリントできます。 IPSで使用される署名を理解することは、パケットを作成してそれらを阻止するか、IPSがストリームを変更してパケットを変更していることを検証するために重要です。
偽のパケットを含むさまざまなタイプのパケットを送信し、戻り値を判断することで、IPスタックのフィンガープリントが作成されます。同様に、Webアプリケーションファイアウォールの場合、 " WAFW00F "でも同じことが行われます。 IPSは違いありません。IPSシステムが特定のパケット/攻撃に対してどのように動作するかで違いを見つけ、それらを使用して、探しているものを判断しますで。
おそらく、1つIPSがRSTを送信し、別のドロップなどが発生します。