capacidades de IDS de red para detección de ataques [cerrado]

-6

¿Un sistema de detección de intrusos en la red (NIDS) (coincidencia de patrones, análisis de protocolo o análisis de comportamiento) puede detectar un desbordamiento de búfer en el tráfico de la red?

    
pregunta Uptown 06.02.2015 - 14:42
fuente

1 respuesta

2

Un NIDS no podría detectar un desbordamiento de búfer por un par de razones.

  1. Es imposible saber cuál es la plataforma de destino para la carga útil; basado estrictamente en el tráfico de la red.
  2. Las explotaciones en el nivel de red muy probablemente se dirigen a alguna aplicación o demonio en el otro lado. Es probable que el desbordamiento del búfer se dirija a una vulnerabilidad específica, y esto tampoco es posible saberlo observando estrictamente el tráfico de la red.

Supongamos que solo estás buscando aplicaciones orientadas x86. El IDS necesitaría desensamblar los bytes (se supone que es una carga útil de x86) y buscar automáticamente el comportamiento de desbordamiento del búfer. Esto se supone que la carga útil no está cifrada o comprimida. En cuyo caso, este proceso no sirve para nada.

Incluso con esas suposiciones, la cantidad de tiempo para realizarlas, ese tipo de análisis en cada paquete que ingresa a un sistema detendría el sistema. Simplemente no es una tarea factible detectar ataques específicos que pueda realizar una carga útil malintencionada. Marcar paquetes maliciosos y registrar esos paquetes es lo mejor que puede hacer. Y el análisis posterior se puede realizar a mano o mediante otras herramientas.

    
respondido por el RoraΖ 06.02.2015 - 17:43
fuente

Lea otras preguntas en las etiquetas