如何对IPS进行指纹识别？

Question

我没有试图解决当前的技术问题，但我偶然发现了这个问题，并一直在想它是如何做到的。入侵防御系统应该允许所有网络流量通过并实现入侵检测方法来检测和阻止恶意有效载荷的数据包。我认为IPS不会自己创建任何应答消息(可以用来对其进行指纹识别)，而是传递或不传递数据包。那怎么可能是“指纹”呢？

也许第一个建议是将巧尽心思构建的数据包发送到您知道的服务器(例如web)，该服务器是在IPS之外连接的，并且基于服务器对IPS引擎/规则上的推断的回答。但这是否切合实际？有什么“合适”的方法吗？

干杯,

乔治奥斯

Answer 1

您可以在有源滤波器检测网站上阅读更多关于PureHacking的信息。他们正在讨论的工具叫做osstmm afd，可作为源tarball或NASL脚本下载。但是，由于这个链接不起作用--我建议你现在在其他地方搜索这个工具，或者通过电子邮件/联系PureHacking。

Answer 2

你可能会对简单流浪者的研究感兴趣。他在这一领域做了大量的研究，并对IPS设备进行了一段时间的指纹识别。

任何对流量进行更改的在线代理都可以进行指纹识别。理解IPS使用的签名对于创建数据包以阻止它们或验证IPS正在流中修改数据包是非常重要的。

Answer 3

发送不同类型的数据包，包括伪造的数据包，并判断返回值是如何对IP堆栈进行指纹识别的。同样，对于web应用程序防火墙，"WAFW00F“也会这样做。指纹识别和IPS没有什么不同。您可以在IPS系统对某些数据包/攻击所做的操作中找到不同之处，并使用它们来确定您可能要查看的内容。

也许一个IPS发送一个RST，其中另一个下降，等等。