- Văn bản
- Lịch sử
30.15 Intrusion Detection SystemsAn
30.15 Intrusion Detection Systems
An Intrusion Detection System (IDS) monitors all packets arriving at a site and notifies
the site administrator if a security violation is detected. An IDS provides an extra
layer of security awareness — even if a firewall prevents an attack, an IDS can notify
the site administrator that a problem is occurring.
Most IDSs can be configured to watch for specific types of attacks. For example,
an IDS can be configured to detect a port scanning attack where an attacker either sends
UDP datagrams to successive UDP protocol ports or attempts to open a TCP connection
on successive TCP protocol ports. Similarly, an IDS can be configured to detect a potential
SYN flooding attack by watching for repeated SYNs from a given source. some cases, an IDS and firewall are interconnected to provide automated filtering: instead
of merely notifying a site administrator about a problem, the IDS creates firewall rule that blocks packets that are causing the problem. For example, if an IDS
detects a SYN flood coming from a given source, the IDS can install a firewall rule that
blocks packets from the source. The reason for using an automated approach is speed
— it takes a human many seconds to respond after being notified of a problem and on gigabit network, over 50,000 packets can arrive per second. Thus, a rapid response needed to prevent a problem from becoming overwhelming.
The chief difference between an IDS and a firewall arises because an IDS includes
state information. Unlike a firewall that applies rules to a single packet at a time, IDS can keep a history of packets. Thus, although a firewall can determine whether admit a given SYN packet, an IDS can observe that many SYNs are arriving from a single
source. Of course, because it requires more computation and memory access than firewall, an IDS cannot handle as many packets per second.
30.16 Content Scanning And Deep Packet Inspection
Although it can handle many security problems, a firewall has a severe limitation:
it only examines fields in a packet header. That is, a firewall cannot test the payload a packet. To see why the contents of packets can be important, consider computer
viruses. One of the most common ways a virus is introduced into an organization through an email attachment — an attacker sends an email message with a computer
program as an attachment. If an unsuspecting user opens the attachment, the program
can install arbitrary software on the user’s computer, including malware† such as virus.
How can a site prevent problems such as the installation of a virus? The answer
lies in content analysis. There are two types of content analysis:
File scanning
Deep Packet Inspection (DPI)
File Scanning. The most straightforward approach to analyze content operates on
entire files. File scanning is a well-known technique used by the security software installed
on a typical PC. In essence, a file scanner takes a file as input and looks for patterns
of bytes that indicate a problem. For example, many virus scanners look for
strings of bytes known as a fingerprint. That is, a company that sells a virus scanner
collects copies of viruses, places each in a file, finds sequences of bytes that are uncommon,
and creates a list of all sequences. When a user runs virus scanner software, the
software searches files on the user’s disk to see if any file contains sequences of bytes
that match items on the list. File scanning works well to catch common problems. Of
course, file scanning can produce a false positive if an ordinary file happens to contain string on the list, and can produce a false negative if a new virus exists that does not
contain any of the strings on the list.
Deep Packet Inspection (DPI). The second form of content analysis operates on
packets instead of files. That is, instead of merely examining the headers in packets
that pass into the site, a DPI mechanism also examines the data in the packet payload.
Note that DPI does not exclude header examination — in many cases, the contents of payload cannot be interpreted without examining fields in the packet header.
As an example of DPI, consider an attack where a slight misspelling of a domain
name is used to trick a user into trusting a site. An organization that wants to prevent
such attacks can black-list a set of URLs that are known to be a security risk. The
proxy approach requires every user at the site to configure their browser to use a web
proxy (i.e., an intermediate web system that checks a URL before fetching the requested
page). As an alternative, a Deep Packet Inspection filter can be set up to inspect each
outgoing packet and watch for an HTTP request to any of the black-listed sites.
The chief disadvantage of DPI arises from computational overhead. Because packet payload in an Ethernet frame can be over twenty times larger than a packet
header, DPI can require twenty times more processing than header inspection. Furthermore,
the payload is not divided into fixed fields, which means that DPI mechanisms
must parse contents during an inspection. As a result:
Because they examine packet payloads which are much larger than
packet headers and not organized into fixed fields, Deep Packet Inspection
mechanisms are limited to lower-speed networks.
An Intrusion Detection System (IDS) monitors all packets arriving at a site and notifies
the site administrator if a security violation is detected. An IDS provides an extra
layer of security awareness — even if a firewall prevents an attack, an IDS can notify
the site administrator that a problem is occurring.
Most IDSs can be configured to watch for specific types of attacks. For example,
an IDS can be configured to detect a port scanning attack where an attacker either sends
UDP datagrams to successive UDP protocol ports or attempts to open a TCP connection
on successive TCP protocol ports. Similarly, an IDS can be configured to detect a potential
SYN flooding attack by watching for repeated SYNs from a given source. some cases, an IDS and firewall are interconnected to provide automated filtering: instead
of merely notifying a site administrator about a problem, the IDS creates firewall rule that blocks packets that are causing the problem. For example, if an IDS
detects a SYN flood coming from a given source, the IDS can install a firewall rule that
blocks packets from the source. The reason for using an automated approach is speed
— it takes a human many seconds to respond after being notified of a problem and on gigabit network, over 50,000 packets can arrive per second. Thus, a rapid response needed to prevent a problem from becoming overwhelming.
The chief difference between an IDS and a firewall arises because an IDS includes
state information. Unlike a firewall that applies rules to a single packet at a time, IDS can keep a history of packets. Thus, although a firewall can determine whether admit a given SYN packet, an IDS can observe that many SYNs are arriving from a single
source. Of course, because it requires more computation and memory access than firewall, an IDS cannot handle as many packets per second.
30.16 Content Scanning And Deep Packet Inspection
Although it can handle many security problems, a firewall has a severe limitation:
it only examines fields in a packet header. That is, a firewall cannot test the payload a packet. To see why the contents of packets can be important, consider computer
viruses. One of the most common ways a virus is introduced into an organization through an email attachment — an attacker sends an email message with a computer
program as an attachment. If an unsuspecting user opens the attachment, the program
can install arbitrary software on the user’s computer, including malware† such as virus.
How can a site prevent problems such as the installation of a virus? The answer
lies in content analysis. There are two types of content analysis:
File scanning
Deep Packet Inspection (DPI)
File Scanning. The most straightforward approach to analyze content operates on
entire files. File scanning is a well-known technique used by the security software installed
on a typical PC. In essence, a file scanner takes a file as input and looks for patterns
of bytes that indicate a problem. For example, many virus scanners look for
strings of bytes known as a fingerprint. That is, a company that sells a virus scanner
collects copies of viruses, places each in a file, finds sequences of bytes that are uncommon,
and creates a list of all sequences. When a user runs virus scanner software, the
software searches files on the user’s disk to see if any file contains sequences of bytes
that match items on the list. File scanning works well to catch common problems. Of
course, file scanning can produce a false positive if an ordinary file happens to contain string on the list, and can produce a false negative if a new virus exists that does not
contain any of the strings on the list.
Deep Packet Inspection (DPI). The second form of content analysis operates on
packets instead of files. That is, instead of merely examining the headers in packets
that pass into the site, a DPI mechanism also examines the data in the packet payload.
Note that DPI does not exclude header examination — in many cases, the contents of payload cannot be interpreted without examining fields in the packet header.
As an example of DPI, consider an attack where a slight misspelling of a domain
name is used to trick a user into trusting a site. An organization that wants to prevent
such attacks can black-list a set of URLs that are known to be a security risk. The
proxy approach requires every user at the site to configure their browser to use a web
proxy (i.e., an intermediate web system that checks a URL before fetching the requested
page). As an alternative, a Deep Packet Inspection filter can be set up to inspect each
outgoing packet and watch for an HTTP request to any of the black-listed sites.
The chief disadvantage of DPI arises from computational overhead. Because packet payload in an Ethernet frame can be over twenty times larger than a packet
header, DPI can require twenty times more processing than header inspection. Furthermore,
the payload is not divided into fixed fields, which means that DPI mechanisms
must parse contents during an inspection. As a result:
Because they examine packet payloads which are much larger than
packet headers and not organized into fixed fields, Deep Packet Inspection
mechanisms are limited to lower-speed networks.
0/5000
30.15 hệ thống phát hiện xâm nhậpMột hệ thống phát hiện xâm nhập (IDS) kiểm soát tất cả các gói tin đến một trang web và thông báo choTrang web quản trị nếu một sự vi phạm bảo mật được phát hiện. Một ID cung cấp thêm mộtlớp bảo mật nâng cao nhận thức-thậm chí nếu tường lửa ngăn chặn một cuộc tấn công, một ID có thể thông báo chongười quản trị trang web một vấn đề đang xảy ra.Hầu hết IDSs có thể được cấu hình để xem cho các loại hình cụ thể của cuộc tấn công. Ví dụ,một ID có thể được cấu hình để phát hiện một cổng quét tấn công mà kẻ tấn công hoặc gửiGói UDP đến cổng giao thức UDP kế tiếp hoặc cố gắng để mở một kết nối TCPtrên cổng giao thức TCP kế tiếp. Tương tự như vậy, một ID có thể được cấu hình để phát hiện một tiềm năngSYN lũ lụt tấn công bằng cách xem cho SYNs lặp đi lặp lại từ một nguồn nhất định. một số trường hợp, một ID và tường lửa được nối liền với nhau để cung cấp tự động lọc: thay vào đócủa chỉ đơn thuần là thông báo cho người quản trị trang web về một vấn đề, các ID tạo ra quy tắc tường lửa đó gói dữ liệu khối đang gây ra vấn đề. Ví dụ, nếu một IDphát hiện một trận lụt SYN đến từ một nguồn nhất định, các ID có thể cài đặt tường lửa cai trị màkhối các gói tin từ nguồn. Lý do cho việc sử dụng một cách tiếp cận tự động là tốc độ-phải mất một con người nhiều giây để trả lời sau khi được thông báo của một vấn đề và trên mạng gigabit, hơn 50.000 gói có thể đến mỗi giây. Vì vậy, một phản ứng nhanh cần thiết để ngăn chặn một vấn đề trở thành áp đảo.Sự khác biệt chính giữa một ID và tường lửa phát sinh vì một ID bao gồmthông tin nhà nước. Không giống như một bức tường lửa áp dụng quy tắc cho một gói duy nhất tại một thời điểm, ID có thể giữ một lịch sử của gói. Vì vậy, mặc dù một bức tường lửa có thể xác định liệu thừa nhận một gói SYN nhất định, một ID có thể quan sát rằng nhiều SYNs đến một trang duy nhấtnguồn. Tất nhiên, bởi vì nó đòi hỏi thêm tính toán và bộ nhớ truy cập hơn tường lửa, một ID không thể xử lý các gói tin như nhiều mỗi giây.30.16 nội dung kiểm tra gói quét và sâuMặc dù nó có thể xử lý nhiều vấn đề bảo mật, một bức tường lửa có một hạn chế nghiêm trọng:nó chỉ xem xét các lĩnh vực trong một tiêu đề gói. Có nghĩa là, một bức tường lửa không thể kiểm tra tải trọng một gói. Để xem tại sao các nội dung của gói dữ liệu có thể được quan trọng, hãy xem xét máy tínhvi-rút. Một trong những cách phổ biến nhất, một loại virus được đưa vào một tổ chức thông qua đính kèm email — kẻ tấn công sẽ gửi một email với một máy tínhchương trình như bản đính kèm. Nếu người dùng không ngờ mở phần đính kèm, chương trìnhcó thể cài đặt bất kỳ phần mềm trên máy tính của người dùng, bao gồm cả malware† chẳng hạn như vi rút.Làm thế nào là một trang web có thể ngăn chặn các vấn đề chẳng hạn như cài đặt một virus? Câu trả lờinằm trong nội dung phân tích. Có hai loại phân tích nội dung:Tập tin quétKiểm tra sâu gói (DPI)Tập tin quét. Cách tiếp cận đơn giản nhất để phân tích nội dung hoạt động trêntoàn bộ tập tin. Tập tin quét là một kỹ thuật nổi tiếng được sử dụng bởi phần mềm bảo mật được cài đặttrên một máy tính điển hình. Về bản chất, một máy quét tập tin có một tập tin như đầu vào và tìm kiếm các mẫubyte cho thấy một vấn đề. Ví dụ, nhiều vi rút máy quét tìm kiếmdây byte được biết đến như một dấu vân tay. Có nghĩa là, một công ty mà bán một máy quét virusthu thập các bản sao của virus, nơi mỗi người trong một tập tin, tìm thấy các trình tự của byte được phổ biến,và tạo ra một danh sách tất cả các trình tự. Khi người dùng chạy các phần mềm máy quét virus, cácphần mềm tìm kiếm các tập tin trên đĩa của người dùng để xem nếu bất kỳ tập tin có chứa các trình tự của bytephù hợp với các khoản mục trong danh sách. Tập tin quét làm việc tốt để nắm bắt những vấn đề phổ biến. CủaTất nhiên, chức năng quét tập tin có thể sản xuất một sai tích cực nếu một tập tin bình thường xảy ra để chứa các chuỗi trong danh sách, và có thể sản xuất một âm tính sai nếu một loại virus mới tồn tại mà khôngchứa bất kỳ chuỗi trong danh sách.Sâu gói các kiểm tra (DPI). Hình thức thứ hai của phân tích nội dung hoạt động trêngói thay vì tệp. Có nghĩa là, thay vì chỉ đơn thuần là kiểm tra các tiêu đề trong góiđó vượt qua vào các trang web, một cơ chế DPI cũng kiểm tra các dữ liệu trong gói tải trọng.Lưu ý rằng DPI không loại trừ tiêu đề thi-trong nhiều trường hợp, nội dung của hàng hoá không thể được giải thích mà không kiểm tra các trường trong tiêu đề gói.Như là một ví dụ về DPI, xem xét một cuộc tấn công nơi một lỗi chính tả nhẹ của một tên miềntên được sử dụng để lừa người dùng tin tưởng một trang web. Một tổ chức mà muốn để ngăn chặnCác cuộc tấn công có thể danh sách đen bộ URL mà được biết là có một nguy cơ bảo mật. Cácyêu cầu proxy phương pháp tiếp cận mọi người sử dụng tại các trang web để đặt cấu hình của trình duyệt để sử dụng một trang webproxy (tức là, một trung gian web hệ thống kiểm tra URL trước khi lấy các yêu cầuTrang). Thay vào đó, một sâu gói kiểm tra bộ lọc có thể được thiết lập để kiểm tra mỗigói tin đi và xem cho một HTTP yêu cầu bất kỳ của các trang web đã xếp hạng đen.Những bất lợi chính của DPI phát sinh từ tính toán chi phí. Bởi vì gói tải trọng trong một khung Ethernet có thể hơn hai mươi lần lớn hơn so với một góitiêu đề, DPI có thể yêu cầu xử lý hơn hai mươi lần so với kiểm tra tiêu đề. Hơn nữa,trọng không được chia thành các trường cố định, mà có nghĩa là cơ chế DPIphải phân tích nội dung trong một kiểm tra. Kết quả là:Bởi vì họ kiểm tra gói dữ liệu đó là lớn hơn nhiều hơngói tiêu đề và không được tổ chức vào lĩnh vực cố định, sâu gói kiểm tracơ chế được giới hạn thấp hơn tốc độ mạng.
đang được dịch, vui lòng đợi..
30,15 Intrusion Detection Systems
Hệ thống phát hiện xâm phạm An (IDS) sẽ giám sát tất cả các gói tin đi đến một trang web và thông báo cho
người quản trị trang web nếu vi phạm an ninh được phát hiện. Một IDS cung cấp thêm
lớp nhận thức an ninh - ngay cả khi một bức tường lửa ngăn chặn một cuộc tấn công, một IDS có thể thông báo cho
người quản trị trang web đó là một vấn đề đang xảy ra.
Hầu hết các IDS có thể được cấu hình để xem với nhiều loại cụ thể của cuộc tấn công. Ví dụ,
một IDS có thể được cấu hình để phát hiện một cuộc tấn công quét cổng mà kẻ tấn công có thể gửi
gói tin UDP đến cổng giao thức UDP tiếp hoặc cố gắng để mở một kết nối TCP
trên cổng giao thức TCP tiếp. Tương tự như vậy, một IDS có thể được cấu hình để phát hiện một tiềm năng
tấn công lũ lụt SYN bằng cách xem cho SYNs lặp đi lặp lại từ một nguồn được đưa ra. một số trường hợp, một IDS và tường lửa được kết nối với nhau để cung cấp lọc tự động: thay vì
chỉ đơn thuần thông báo cho người quản trị trang web về một vấn đề, IDS tạo tường lửa quy tắc chặn các gói tin đang gây ra vấn đề. Ví dụ, nếu một IDS
phát hiện một lũ SYN đến từ một nguồn được đưa ra, các IDS có thể cài đặt một quy tắc tường lửa mà
khối các gói tin từ nguồn. Lý do cho việc sử dụng một cách tiếp cận tự động là tốc độ
- phải mất một giây nhiều nhân lực để đáp ứng sau khi được thông báo về một vấn đề và trên mạng gigabit, hơn 50.000 gói tin có thể đến mỗi giây. Như vậy, một phản ứng nhanh cần thiết để ngăn chặn một vấn đề trở nên áp đảo.
Sự khác biệt chính giữa một IDS và tường lửa phát sinh do một IDS bao gồm
thông tin trạng thái. Không giống như một bức tường lửa mà áp dụng các quy tắc để một gói duy nhất tại một thời gian, IDS có thể giữ một lịch sử của các gói tin. Như vậy, mặc dù một tường lửa có thể xác định liệu thừa nhận một gói tin SYN được đưa ra, một IDS có thể quan sát thấy nhiều SYNs đang đến từ một đơn
nguồn. . Tất nhiên, bởi vì nó đòi hỏi tính toán và bộ nhớ truy cập hơn tường lửa, IDS có thể không xử lý như nhiều gói mỗi giây
30,16 Content quét và kiểm tra gói sâu
Mặc dù nó có thể xử lý nhiều vấn đề an ninh, một bức tường lửa có một hạn chế nghiêm trọng:
nó chỉ kiểm tra các lĩnh vực trong một tiêu đề gói tin. Đó là một bức tường lửa không thể kiểm tra trọng tải một gói tin. Để xem tại sao các nội dung của gói tin có thể quan trọng, xem xét máy tính của
virus. Một trong những cách phổ biến nhất là một virus được đưa vào một tổ chức thông qua một tập tin đính kèm email - một kẻ tấn công gửi một email với một máy tính
chương trình như là một tập tin đính kèm. Nếu một người dùng không nghi ngờ mở file đính kèm, chương trình
có thể cài đặt phần mềm tùy ý trên máy tính của người sử dụng, bao gồm cả phần mềm độc hại như virus †.
Làm thế nào có thể một trang web ngăn chặn các vấn đề như việc lắp đặt một virus? Câu trả lời
nằm trong phân tích nội dung. Có hai loại phân tích nội dung:
quét tập tin
sâu Kiểm tra Packet (DPI)
tập tin quét. Các phương pháp đơn giản nhất để phân tích nội dung hoạt động trên
toàn bộ các file. Quét tập tin là một kỹ thuật nổi tiếng được sử dụng bởi các phần mềm bảo mật được cài đặt
trên một máy tính điển hình. Về bản chất, một máy quét tập tin có một tập tin là đầu vào và tìm kiếm những mẫu
byte chỉ ra một vấn đề. Ví dụ, nhiều máy quét vi rút tìm kiếm
các chuỗi byte được biết đến như một dấu vân tay. Đó là, một công ty bán một máy quét virus
thu thập các bản sao của virus, nơi mỗi trong một tập tin, phát hiện các trình tự của byte đó là không phổ biến,
và tạo ra một danh sách của tất cả các trình tự. Khi người dùng chạy các phần mềm quét virus, các
phần mềm tìm kiếm các tập tin trên đĩa của người dùng để xem có bất kỳ tập tin có chứa các trình tự của byte
phù hợp với các mục trên danh sách. Quét file hoạt động tốt để nắm bắt các vấn đề chung. Trong
khóa học, quét tập tin có thể sản xuất một dương tính giả nếu một tập tin bình thường xảy ra để có chuỗi trong danh sách, và có thể sản xuất một âm tính giả nếu một virus mới tồn tại mà không
chứa bất kỳ của các dây trên danh sách.
Kiểm tra sâu gói (DPI ). Hình thức thứ hai của phân tích nội dung hoạt động trên
các gói tin thay vì tập tin. Đó là, thay vì chỉ đơn thuần là kiểm tra các tiêu đề trong các gói
mà đi vào các trang web, một cơ chế DPI cũng kiểm tra các dữ liệu trong payload gói tin.
Lưu ý rằng DPI không loại trừ kiểm tra tiêu đề - trong nhiều trường hợp, các nội dung của tải trọng không thể được giải thích mà không kiểm tra các lĩnh vực trong tiêu đề gói.
Như một ví dụ về DPI, hãy xem xét một cuộc tấn công nơi một lỗi chính tả nhẹ của một miền
tên được sử dụng để lừa người dùng tin tưởng vào một trang web. Một tổ chức muốn ngăn chặn
các cuộc tấn công như vậy có thể đen liệt kê một tập hợp các URL được biết đến là một nguy cơ bảo mật. Các
phương pháp proxy yêu cầu mỗi người sử dụng tại các trang web để cấu hình trình duyệt của họ để sử dụng một web
proxy (tức là, một hệ thống web trung gian để kiểm tra một URL trước khi lấy các yêu cầu
trang). Là một thay thế, một bộ lọc Packet Inspection sâu có thể được thiết lập để kiểm tra từng
gói tin gửi đi và xem cho một yêu cầu HTTP cho bất kỳ trang web đen được liệt kê.
Những bất lợi chính của Sở KH & ĐT phát sinh từ trên không tính toán. Bởi vì payload gói tin trong một khung Ethernet có thể lớn hơn một gói hơn hai mươi lần
đầu, Sở KH & ĐT có thể yêu cầu xử lý hơn hai mươi lần so với kiểm tra header. Hơn nữa,
các tải trọng không được chia thành các lĩnh vực cố định, có nghĩa là cơ chế DPI
phải phân tích các nội dung trong quá trình kiểm tra. Kết quả là:
Bởi vì họ kiểm tra trọng tải gói dữ liệu có dung lượng lớn hơn nhiều so với
tiêu đề gói tin và không được tổ chức vào các lĩnh vực cố định, kiểm tra sâu gói
cơ chế được giới hạn cho các mạng tốc độ thấp hơn.
Hệ thống phát hiện xâm phạm An (IDS) sẽ giám sát tất cả các gói tin đi đến một trang web và thông báo cho
người quản trị trang web nếu vi phạm an ninh được phát hiện. Một IDS cung cấp thêm
lớp nhận thức an ninh - ngay cả khi một bức tường lửa ngăn chặn một cuộc tấn công, một IDS có thể thông báo cho
người quản trị trang web đó là một vấn đề đang xảy ra.
Hầu hết các IDS có thể được cấu hình để xem với nhiều loại cụ thể của cuộc tấn công. Ví dụ,
một IDS có thể được cấu hình để phát hiện một cuộc tấn công quét cổng mà kẻ tấn công có thể gửi
gói tin UDP đến cổng giao thức UDP tiếp hoặc cố gắng để mở một kết nối TCP
trên cổng giao thức TCP tiếp. Tương tự như vậy, một IDS có thể được cấu hình để phát hiện một tiềm năng
tấn công lũ lụt SYN bằng cách xem cho SYNs lặp đi lặp lại từ một nguồn được đưa ra. một số trường hợp, một IDS và tường lửa được kết nối với nhau để cung cấp lọc tự động: thay vì
chỉ đơn thuần thông báo cho người quản trị trang web về một vấn đề, IDS tạo tường lửa quy tắc chặn các gói tin đang gây ra vấn đề. Ví dụ, nếu một IDS
phát hiện một lũ SYN đến từ một nguồn được đưa ra, các IDS có thể cài đặt một quy tắc tường lửa mà
khối các gói tin từ nguồn. Lý do cho việc sử dụng một cách tiếp cận tự động là tốc độ
- phải mất một giây nhiều nhân lực để đáp ứng sau khi được thông báo về một vấn đề và trên mạng gigabit, hơn 50.000 gói tin có thể đến mỗi giây. Như vậy, một phản ứng nhanh cần thiết để ngăn chặn một vấn đề trở nên áp đảo.
Sự khác biệt chính giữa một IDS và tường lửa phát sinh do một IDS bao gồm
thông tin trạng thái. Không giống như một bức tường lửa mà áp dụng các quy tắc để một gói duy nhất tại một thời gian, IDS có thể giữ một lịch sử của các gói tin. Như vậy, mặc dù một tường lửa có thể xác định liệu thừa nhận một gói tin SYN được đưa ra, một IDS có thể quan sát thấy nhiều SYNs đang đến từ một đơn
nguồn. . Tất nhiên, bởi vì nó đòi hỏi tính toán và bộ nhớ truy cập hơn tường lửa, IDS có thể không xử lý như nhiều gói mỗi giây
30,16 Content quét và kiểm tra gói sâu
Mặc dù nó có thể xử lý nhiều vấn đề an ninh, một bức tường lửa có một hạn chế nghiêm trọng:
nó chỉ kiểm tra các lĩnh vực trong một tiêu đề gói tin. Đó là một bức tường lửa không thể kiểm tra trọng tải một gói tin. Để xem tại sao các nội dung của gói tin có thể quan trọng, xem xét máy tính của
virus. Một trong những cách phổ biến nhất là một virus được đưa vào một tổ chức thông qua một tập tin đính kèm email - một kẻ tấn công gửi một email với một máy tính
chương trình như là một tập tin đính kèm. Nếu một người dùng không nghi ngờ mở file đính kèm, chương trình
có thể cài đặt phần mềm tùy ý trên máy tính của người sử dụng, bao gồm cả phần mềm độc hại như virus †.
Làm thế nào có thể một trang web ngăn chặn các vấn đề như việc lắp đặt một virus? Câu trả lời
nằm trong phân tích nội dung. Có hai loại phân tích nội dung:
quét tập tin
sâu Kiểm tra Packet (DPI)
tập tin quét. Các phương pháp đơn giản nhất để phân tích nội dung hoạt động trên
toàn bộ các file. Quét tập tin là một kỹ thuật nổi tiếng được sử dụng bởi các phần mềm bảo mật được cài đặt
trên một máy tính điển hình. Về bản chất, một máy quét tập tin có một tập tin là đầu vào và tìm kiếm những mẫu
byte chỉ ra một vấn đề. Ví dụ, nhiều máy quét vi rút tìm kiếm
các chuỗi byte được biết đến như một dấu vân tay. Đó là, một công ty bán một máy quét virus
thu thập các bản sao của virus, nơi mỗi trong một tập tin, phát hiện các trình tự của byte đó là không phổ biến,
và tạo ra một danh sách của tất cả các trình tự. Khi người dùng chạy các phần mềm quét virus, các
phần mềm tìm kiếm các tập tin trên đĩa của người dùng để xem có bất kỳ tập tin có chứa các trình tự của byte
phù hợp với các mục trên danh sách. Quét file hoạt động tốt để nắm bắt các vấn đề chung. Trong
khóa học, quét tập tin có thể sản xuất một dương tính giả nếu một tập tin bình thường xảy ra để có chuỗi trong danh sách, và có thể sản xuất một âm tính giả nếu một virus mới tồn tại mà không
chứa bất kỳ của các dây trên danh sách.
Kiểm tra sâu gói (DPI ). Hình thức thứ hai của phân tích nội dung hoạt động trên
các gói tin thay vì tập tin. Đó là, thay vì chỉ đơn thuần là kiểm tra các tiêu đề trong các gói
mà đi vào các trang web, một cơ chế DPI cũng kiểm tra các dữ liệu trong payload gói tin.
Lưu ý rằng DPI không loại trừ kiểm tra tiêu đề - trong nhiều trường hợp, các nội dung của tải trọng không thể được giải thích mà không kiểm tra các lĩnh vực trong tiêu đề gói.
Như một ví dụ về DPI, hãy xem xét một cuộc tấn công nơi một lỗi chính tả nhẹ của một miền
tên được sử dụng để lừa người dùng tin tưởng vào một trang web. Một tổ chức muốn ngăn chặn
các cuộc tấn công như vậy có thể đen liệt kê một tập hợp các URL được biết đến là một nguy cơ bảo mật. Các
phương pháp proxy yêu cầu mỗi người sử dụng tại các trang web để cấu hình trình duyệt của họ để sử dụng một web
proxy (tức là, một hệ thống web trung gian để kiểm tra một URL trước khi lấy các yêu cầu
trang). Là một thay thế, một bộ lọc Packet Inspection sâu có thể được thiết lập để kiểm tra từng
gói tin gửi đi và xem cho một yêu cầu HTTP cho bất kỳ trang web đen được liệt kê.
Những bất lợi chính của Sở KH & ĐT phát sinh từ trên không tính toán. Bởi vì payload gói tin trong một khung Ethernet có thể lớn hơn một gói hơn hai mươi lần
đầu, Sở KH & ĐT có thể yêu cầu xử lý hơn hai mươi lần so với kiểm tra header. Hơn nữa,
các tải trọng không được chia thành các lĩnh vực cố định, có nghĩa là cơ chế DPI
phải phân tích các nội dung trong quá trình kiểm tra. Kết quả là:
Bởi vì họ kiểm tra trọng tải gói dữ liệu có dung lượng lớn hơn nhiều so với
tiêu đề gói tin và không được tổ chức vào các lĩnh vực cố định, kiểm tra sâu gói
cơ chế được giới hạn cho các mạng tốc độ thấp hơn.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Tôi ổnBạn quá bận Không cần quan tâm tôi
- 雨季易患疾病雨季易引发肠胃疾病、皮肤过敏、感冒久治不愈、心血管、高血压等疾病高发
- One question was, “Do you think that the
- https://iforgot.apple.com/password/verif
- Characteristics
- 第一关:元气关。暑天容易伤气,这将导致体力、元气不足,机体功能下降。例如,出汗过
- Michelle Rhee took over responsibility f
- Its polysaccharide chains have the uniqu
- Key Authorities
- Your resume title should describe your d
- Foto bitte nicht aufkleben nur beilegen
- Key Authorities And Digital Certificates
- Authorities
- Côn trùng có thể trở thành thực phẩm din
- Its polysaccharide chains have the uniqu
- họ an ủi tôi
- Its polysaccharide chains have the uniqu
- >> 夏季六节气养生之道——立夏 2013-06-04>> 夏季六节气养生之道—
- Cuối tuần đi đâu du lịch
- >> 夏季六节气养生之道——立夏 2013-06-04>> 夏季六节气养生之道—
- Biotechnological
- Anh có định về việt nam kinh doanh không
- Biotechnological
- . IntroductionWork on texture dates back
