如何进行Ripple20网络风险分析?

上个月早些时候,Ripple20变得很流行,因为它已经列出了许多物联网设备使用的定制IP堆栈中发现的一些漏洞。尽管Ripple20上大肆宣传,但本质上,用于识别易受攻击设备的工具会发送格式错误或有效的数据包(有些值在允许的范围内,但值已弃用或过时),这些数据包很容易捕获(有关检测,请参阅Suricata和Zeek规则)。本质上,IDS规则/脚本是在检查线上发送的数据包是否有效,或者是否包含Ripple20使用的意外值。请注意,这些规则通常不检查数据包(例如检查TLS报头是否有效,或者ICMP数据包是否包含未被废弃的有效类型/代码),但它们仅用于发现Pipple2.0,所以如果未来的Ripple21会使用相同的方法,但却使用不同的值,我们就会回到原点,需要定义新的一套或规则/脚本。这就是基于签名的系统的工作方式,正如你所看到的那样,它们很容易规避在网络流量上做一些小小的改变,更不用说不断添加新的规则/脚本会让这些系统变得很慢。

为了有一个更通用的解决方案来解决这个问题,我们决定在nDPI(以及所有使用它的应用程序中)中引入一个新的分析类型,我们将其命名为 “risk factor”,它可以分析流量并产生流量上发现的问题的位图。当然,这不是基于签名/脚本,以准备抓住Ripple21如果/何时会被披露。本质上nDPI在分析流量时,也会评估一些风险,并向使用它的应用报告,这是在应用协议之外。这个机制是可扩展的,我们也在不断的增加新的数值,使其更加普及。使用nDPI的应用可以使用risk factor来阻止或发出警报,这不需要实现复杂的检测方法,因为nDPI已经完成了一切。截至目前,nDPI能够检测以下问题。

XSS(跨站点脚本)
SQL注入
任意代码注入/执行
Binary / .exe应用程序传输(例如在HTTP中)
非标准端口上的已知协议
TLS自签名证书
TLS过时版本
TLS弱密码
TLS证书已过期
TLS证书不匹配
HTTP可疑用户代理
已联系HTTP数字IP主机
HTTP可疑网址
HTTP可疑协议标头
不带HTTPS的TLS连接(例如,基于TLS的VPN)
可疑DGA域联络
数据包格式错误(此处检测到Ripple20)

如果您的基于nDPI的应用程序可以为上述风险进行评分,您就已经发现IDS检测到的大多数问题,这就不必再为不断更新规则/脚本而头疼了。例如在这个pcap中,一个恶意软件将一个二进制应用程序(.exe)转换为PNG文件,以逃避安全策略。

如何进行Ripple20网络风险分析?

 

如上图所示,ntopng(使用nDPI,因此可以从此流量分析中受益,而无需执行任何操作,而只是解释nDPI报告的risk factor)就会报告此问题并触发警报。简单而有效不是吗?

原创:https://www.panoramacn.com
源码网提供WordPress源码,帝国CMS源码discuz源码,微信小程序,小说源码,杰奇源码,thinkphp源码,ecshop模板源码,微擎模板源码,dede源码,织梦源码等。

专业搭建小说网站,小说程序,杰奇系列,微信小说系列,app系列小说

如何进行Ripple20网络风险分析?

免责声明,若由于商用引起版权纠纷,一切责任均由使用者承担。

您必须遵守我们的协议,如果您下载了该资源行为将被视为对《免责声明》全部内容的认可-> 联系客服 投诉资源
www.panoramacn.com资源全部来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。 敬请谅解! 侵权删帖/违法举报/投稿等事物联系邮箱:2640602276@qq.com
未经允许不得转载:书荒源码源码网每日更新网站源码模板! » 如何进行Ripple20网络风险分析?
关注我们小说电影免费看
关注我们,获取更多的全网素材资源,有趣有料!
120000+人已关注
分享到:
赞(0) 打赏

评论抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

您的打赏就是我分享的动力!

支付宝扫一扫打赏

微信扫一扫打赏