¿Un sistema de detección de intrusos en la red (NIDS) (coincidencia de patrones, análisis de protocolo o análisis de comportamiento) puede detectar un desbordamiento de búfer en el tráfico de la red?
Un NIDS no podría detectar un desbordamiento de búfer por un par de razones.
Supongamos que solo estás buscando aplicaciones orientadas x86. El IDS necesitaría desensamblar los bytes (se supone que es una carga útil de x86) y buscar automáticamente el comportamiento de desbordamiento del búfer. Esto se supone que la carga útil no está cifrada o comprimida. En cuyo caso, este proceso no sirve para nada.
Incluso con esas suposiciones, la cantidad de tiempo para realizarlas, ese tipo de análisis en cada paquete que ingresa a un sistema detendría el sistema. Simplemente no es una tarea factible detectar ataques específicos que pueda realizar una carga útil malintencionada. Marcar paquetes maliciosos y registrar esos paquetes es lo mejor que puede hacer. Y el análisis posterior se puede realizar a mano o mediante otras herramientas.
Lea otras preguntas en las etiquetas attacks attack-prevention ids