我并不是想解决当前的技术问题,但我遇到了这个问题,并且一直想知道它是如何完成的。入侵防御系统应该让所有网络流量通过并实施入侵检测方法来检测和阻止带有恶意负载的数据包。我认为 IPS 不会自行创建任何应答消息(可用于对其进行指纹识别),而是通过或不通过数据包。那怎么才能“指纹”呢?
也许第一个建议是将专门制作的数据包发送到您知道连接到 IPS 之外的(例如 Web)服务器,并根据服务器的答案推断 IPS 引擎/规则。但这实用吗?有没有“正确”的方法来做到这一点?
干杯,
乔治斯
如何对 IPS 进行指纹识别?
信息安全
网络
身份证
2021-09-08 21:45:21
3个回答
您可以在 PureHacking 网站上阅读有关主动过滤器检测的更多信息。他们正在讨论的工具称为osstmm-afd,可作为源 tarball 或 NASL 脚本下载。但是,由于该链接不起作用——我建议您现在在其他地方搜索此工具或发送电子邮件/联系 PureHacking。
您可能会对 Simple Nomad 的研究感兴趣。他在这方面做了很多研究,并且已经对 IPS 设备进行指纹识别已经有一段时间了。
可以对任何对流量进行更改的内联代理进行指纹识别。了解 IPS 使用的签名对于创建数据包以阻止它们或验证 IPS 是否在流中修改数据包非常重要。
发送不同类型的数据包,包括伪造的数据包,并判断返回值是 IP 堆栈的指纹识别方式。同样,对于 Web 应用程序防火墙,“ WAFW00F ”也会这样做。对 IPS 进行指纹识别也不例外。您会发现 IPS 系统对某些数据包/攻击所做的操作之间存在差异,并使用这些差异来确定您可能正在查看的内容。
也许一个 IPS 会发送一个 RST,而另一个会掉线,等等。