入侵检测IDS与与入侵防御IPS的那些事

admin 2025年4月1日23:48:27评论5 views字数 2059阅读6分51秒阅读模式
入侵检测IDS与与入侵防御IPS的那些事

点击蓝字

关注我们

入侵检测IDS与与入侵防御IPS的那些事

始于理论,源于实践,终于实战

老付话安全,每天一点点

激情永无限,进步看得见

入侵检测IDS与与入侵防御IPS的那些事

严正声明

本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。

特此声明!!!

什么是入侵防御IPS

一种实时网络流量分析设备,通过深度包检测(DPI)和模式匹配技术,主动拦截恶意流量并阻断攻击行为。从定义我们可以看出来,这个设备和防火墙的主要功能没什么两样也是深度包解析和特征匹配。所谓特征匹配就是对签名检测,比对已知攻击特征库(如CVE漏洞利用模式),进行拦截。再次基础上又增加一些辅助功能。增加了高级路由功能,厂商可能为了满足个性化场景。但是这些功能防火墙也具备呢,那有没有必要买了防火墙后,再在其后部署一套IPS呢?每个人有每个人的看法。

有一种情况,IPS特征库开启后着实影响防火墙性能,可能会部署专用的ips设备。这个可以理解,问题是现在的硬件设备配置已经足够大了,是否可以开启ips特征库过滤呢?那防火墙的IPS库关闭了,只用路由功能是不是可以选用路由器呢?这个各位看官可以仔细斟酌。但是对于大流量的大数据中心可能会有另一种想法。这个要根据场景需求来判断,虽说花的钱不是个人的都是企业,但是能为企业着想不是更好吗。您说呢!

说完IPS,再来聊聊IDS

什么是入侵检测IDS。

IDS的功能和IPS其实也是一样的,无非就是一个阻断一个不阻断,核心思想都是流量检测,特征匹配;一个串行,一个旁路镜像收取流量。

那要不要买IDS设备呢?

从机制上来讲,因为如果防火墙部署在三层交换机边界,有些二层流量是无法穿过防火墙,也就无法进行拦截阻断;从这个角度讲IDS是有意义的。

再一种情况,防火墙需要串接断网,可能某些场景不允许断网,先用IDS检测着,但这样就得有人盯着IDS看,或者发生问题后再去回溯。就和视频监控一样,发现丢东西了再去查监控看看是谁偷的。有点像亡羊补牢的意思。

现在厂商为了多卖设备,在IDS上增加很多辅助性的功能,如资产识别与管理功能,可以通过流量识别资产名称,固件版本等信息,再把资产与资产之间的互联关系可视化出来,以资产为单位展示风险。流量中的哪些信息会标识资产信息以及如何从流量中识别的呢?

资产指纹识别:
资产属性
流量中的特征来源
识别精度
操作系统
TCP/IP协议栈特征(TTL、窗口大小、TCP选项顺序)
协议指纹
TTL值:Windows通常128,Linux通常64
WindowSize:Android设备多为29200,iOS多为65535TCP Option
排序:不同内核实现有差异
HTTP头信息:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 
85%-92%
设备厂商
MAC地址OUI部分、HTTP User-Agent头、SNMP协议响应
协议识别:解析Modbus/S7Comm等工业协议头部的厂商标识字段,Modbus功能码0x43(读设备标识)返回施耐德PLC的VendorID=0x000003;
解析Modbus/S7Comm等工业协议头部的厂商标识字段,
95%+
固件版本
TLS握手信息(如JA3指纹)、IoT设备特有的协议交互(如UPnP的Server头)
TLS指纹:JA3/JA3S算法生成的哈希值(如771,49195-49199-52393...对应Windows 10)
提取HTTP/FTP服务中的版本文件(如/fw_update/version.txt ),罗克韦尔PLC的FTP服务通常包含RSLogix_5.0.3.bin 等文件
70%-80%
设备类型
协议使用组合(如摄像头常用RTSP+ONVIF)、端口开放模式(打印机常用9100端口)
88%-95%

还可以使用无损探测包技术(非侵入式探测)

技术类型
实现方式
适用场景
协议握手
发送不带数据的S7Comm连接请求(COTP DT包长度=1)
西门子PLC存活检测
状态查询
构造合法的Modbus Read Holding Registers请求(地址范围0-10)
通用PLC设备识别
服务发现
发送SNMP GetRequest查询1.3.6.1.2.1.1.1.0(系统描述OID)
支持SNMP的PLC
模糊探测
发送特制但不违规的EtherNet/IP包(会话ID=0x00000000)
罗克韦尔PLC版本探测

无论采用哪种技术,其底层逻辑是还是要有设备指纹库,通过某种方式来获取信息,其识别率可以看出也不是百分百的完全识别,还要靠人工复检和调整,无形中又增加了运维负担,但是有比没有强,有一定作用。

通过这个分析,各位怎么看待设备的选购呢?如果财大气粗那就全部都上线吧,当成工具来使用。但是运维人员维护的设备就多了,而且也会产生大量的日志,海量的误报。随着人工智能技术的来临,希望能够解决一部分问题。

END

原文始发于微信公众号(老付话安全):入侵检测IDS与与入侵防御IPS的那些事

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月1日23:48:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   入侵检测IDS与与入侵防御IPS的那些事https://cn-sec.com/archives/3896074.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息