Фырканье, поле Portscans и Scanned IP Range
Цель SSLSTRIP не является сервером, но сессией между пользователем и угнанным транзитным участком. Это охотится на inabilities пользователей для различения между реальной сессией SSL и двойником. Лучшее смягчение, затем, удостоверяется, что Ваши пользователи знают о том, на что похоже надлежащее соединение SSL с Вашим веб-сайтом: https://, не полагайтесь на favicon "замок" и т.д.
К сожалению, так как проблема находится в основном на стороне клиента, нет много, можно сделать на стороне сервера для фиксации наивности пользователей. Можно ли поместить некоторые примечания на странице входа в систему/CC, самой направляющей пользователей для проверки на надлежащее соединение SSL, но кто должен сказать, что это не будет разделено взломщиком?
Одна опция состоит в том, чтобы использовать что-то как NoScript (или HSTS как упомянутая AGL).
Мне нравится устанавливать browser.identity.ssl_domain_display к 2 в Firefox для создания страниц SSL путем более очевидный и набор network.IDN_show_punycode к истинному для предотвращения нападений омографа.
Снова, это вещи, которые должны быть сделаны на стороне клиента и не гарантированы быть сделанным Вашими пользователями! Предположите, что по крайней мере некоторые Ваши пользователи не заботятся и нажмут через что-либо.
Я думаю, вы слишком зацикливаетесь на терминологии TCP-соединения и на том, как это связано с тем, что Snort подразумевает под источником и местом назначения.
Хотя Snort действительно имеет возможность хранить некоторую информацию о состоянии для проверки с отслеживанием состояния (называемой потоковыми битами), сигнатуры обрабатываются для отдельных пакетов. Это означает, что источник и место назначения не сопоставляются с клиентом и сервером, они сопоставляются непосредственно с полями адреса источника и назначения в IP-заголовке. Это означает, что конкретный пакет, вызвавший срабатывание этого правила, имел 10.19.0.5 в поле адреса назначения и 136.238.4.165 в поле адреса источника. Здесь мы говорим об одном пакете, он не имеет ничего общего с тем, кто инициировал сеанс.
Также имейте в виду, как работает препроцессор sfPortscan. Его алгоритм обнаружения на самом деле просто проверяет по трем шаблонам:
- трафик TCP / UDP, когда один хост общается с одним хостом и попадает на множество портов
- Трафик TCP / UDP, когда многие хосты общаются с одним хостом и попадают на множество портов
- TCP Трафик / UDP / ICMP, когда один хост общается со многими хостами через один порт
Во многом из-за № 3 это предупреждение может быть вызвано практически любой системой, которая фактически предоставляет услугу. По какой-то причине файловые серверы Windows SMB кажутся худшими нарушителями ложных срабатываний. Это делает препроцессор sfPortscan исключительно шумным. Настолько шумно, что, если у вас нет жестко ограниченной сети и нет опыта для значительной настройки вывода, почти даже не стоит включать этот препроцессор.
- Трафик TCP / UDP, когда один хост общается с одним хостом и попадает во многие порты
- Трафик TCP / UDP, когда многие хосты взаимодействуют с одним хостом и попадают на множество портов
- Трафик TCP / UDP / ICMP, когда один хост разговаривает с много хостов на одном порту
Во многом из-за №3 это предупреждение может быть вызвано практически любой системой, которая фактически предоставляет услугу. По какой-то причине файловые серверы Windows SMB кажутся худшими нарушителями ложных срабатываний. Это делает препроцессор sfPortscan исключительно шумным. Настолько шумно, что, если у вас нет жестко ограниченной сети и нет опыта для значительной настройки вывода, почти даже не стоит включать этот препроцессор.
- Трафик TCP / UDP, когда один хост общается с одним хостом и попадает во многие порты
- Трафик TCP / UDP, когда многие хосты взаимодействуют с одним хостом и попадают на множество портов
- Трафик TCP / UDP / ICMP, когда один хост разговаривает с много хостов на одном порту
Во многом из-за № 3 это предупреждение может быть вызвано практически любой системой, которая фактически предоставляет услугу. По какой-то причине файловые серверы Windows SMB кажутся худшими нарушителями ложных срабатываний. Это делает препроцессор sfPortscan исключительно шумным. Настолько шумно, что, если у вас нет жестко ограниченной сети и нет опыта для значительной настройки вывода, почти даже не стоит включать этот препроцессор.
Это делает препроцессор sfPortscan исключительно шумным. Настолько шумно, что, если у вас нет жестко ограниченной сети и нет опыта для значительной настройки вывода, почти даже не стоит включать этот препроцессор. Это делает препроцессор sfPortscan исключительно шумным. Настолько шумно, что, если у вас нет жестко ограниченной сети и нет опыта для значительной настройки вывода, почти даже не стоит включать этот препроцессор.