¿Cómo se puede tomar la huella digital de un IPS?

8

No estoy tratando de resolver un problema técnico actual, pero me encontré con esto y me he estado preguntando cómo se hace. Se supone que los sistemas de prevención de intrusiones deben dejar pasar todo el tráfico de la red e implementar métodos de detección de intrusiones para detectar y detener paquetes con cargas maliciosas. Creo que un IPS no crea en sí mismo ningún mensaje de respuesta (que pueda usarse para la huella digital), sino que pasa el paquete o no. Entonces, ¿cómo puede ser "huella digital"?

Quizás una primera sugerencia sería enviar paquetes específicamente diseñados a un servidor (por ejemplo, un sitio web) que sepa que esté conectado más allá del IPS y basado en las respuestas del servidor para inferir en el motor / reglas de IPS. ¿Pero es esto práctico? ¿Hay una forma "adecuada" de hacerlo?

Saludos,

georgios

    
pregunta Georgios 30.03.2011 - 14:18
fuente

3 respuestas

3

Puede leer más sobre Detección activa de filtros en el sitio web de PureHacking. La herramienta que están discutiendo se llama osstmm-afd , disponible para descargar como un archivo fuente o script NASL. Sin embargo, dado que el enlace no funciona, le sugiero que busque esta herramienta en otro lugar por ahora o envíe un correo electrónico o póngase en contacto con PureHacking.

    
respondido por el atdre 04.04.2011 - 21:59
fuente
3

Probablemente estaría interesado en la investigación de Simple Nomad. Ha investigado mucho en esta área y ha estado tomando huellas dactilares de dispositivos IPS durante un tiempo.

Cualquier proxy en línea que realice cambios en el tráfico puede ser tomado como huella digital. Comprender las firmas utilizadas por el IPS es importante para crear paquetes para frustrarlos o para validar que un IPS está en secuencia modificando los paquetes.

    
respondido por el wickett 30.03.2011 - 17:00
fuente
2

El envío de diferentes tipos de paquetes, incluidos los falsos, y la evaluación de los valores de retorno es la forma en que se apilan las huellas de IP. Del mismo modo, para los firewalls de aplicaciones web, " WAFW00F " hará lo mismo. La toma de huellas dactilares de un IPS no es diferente. Usted encuentra diferencias entre lo que hacen los sistemas IPS para ciertos paquetes / ataques y los usa para determinar lo que probablemente esté viendo.

Quizás un IPS envía un RST donde cae otro, etc.

    
respondido por el Jeff Ferland 30.03.2011 - 15:22
fuente

Lea otras preguntas en las etiquetas