On 11/2/09 5:02 PM, Marco Ermini wrote:
O anche fino a 500, che sono piĆ¹ che sufficienti per trovare la gran
parte degli attacchi.
Beh...si e no :)
Certo che se parliamo di attacchi "datati" e generati da tool
automatici, nessuna si prendera' la briga di cercare di evadere l'IPS.
Mettiamo il caso tu abbia un'applicazione custom-developed, in cui ci
sia un form...magari i primi 500 byte inviati dall'attacante non
contengono niente di rilevante, poi al 501esimo byte... (questo e' un
esempio reale, non posso fornirti il dump, ma il payload di attacco era
addirittura dopo 1000 byte).
Ma qui siamo sempre nel campo signature vs anomaly :)
--
Dr. Damiano Bolzoni
[email protected]
Homepage http://dies.ewi.utwente.nl/~bolzonid/
PGP public key http://dies.ewi.utwente.nl/~bolzonid/public_key.asc
Skype ID: [email protected]
Distributed and Embedded Security Group - University of Twente
P.O. Box 217 7500AE Enschede, The Netherlands
Phone +31 53 4893744
Mobile +31 629 008724
ZILVERLING building, room 3007
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
