Federico Lombardo wrote: > Salve a tutti, > leggendo qualche paper qui e li mi sono รจ venuto all'occhio che > parecchi (tutti) vendors sui loro motori IDS/IPS fissano una finestra > predefinita di bytes entro la quale prevedono di identificare
Dieci anni fa, Newsham e Ptacek hanno dimostrato i concetti di evasion, insertion e deletion, oltre a mostrare come le contromisure verso uno di detti attacchi aprono la finestra dell'altro. In buona sostanza, cio' che accade e' che su un iDs ti puoi permettere di ampliare i falsi positivi e includere sia insertion sia deletion, mentre su un iPs dove il falso positivo costa di piu' tendi a ridurli, e quindi ad ampliare i falsi negativi. In sintesi, il rischio che vedi c'e', ma il fatto e' voluto. C'e' da dire che la gran maggioranza degli IPS si frega anche con cose tipo path espressi in modo non canonico, encoding, o semplicemente con exploit non uguali a quelli di metasploit... :-D -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [EMAIL PROTECTED] Web: http://home.dei.polimi.it/zanero/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
