ips
Cisco IPS 如何工作?
它是如何工作的?它是否通常具有预定义的受信任或恶意活动模式?它实际上是一类防火墙技术吗?我对思科的好奇心比其他产品更大。 ...
ips
ips
向 AWS 中的子网添加更多 IP 地址
我有一个 CIDR 为 10.0.4.0/28 的子网(15 个 IP 地址),现在已经用完了;所以我想添加更多 IP 地址。 是否可以向子网添加更多 IP 地址?我发现我可以向 VPC 添加第二个 CIDR 范围。 如果没有,最好的选择是什么,也许是其中之一?: 创建第二个子网(需要更多管理和第二个安全网关等) 创建第二个(更大的)子网,并将所有内容从第一个子网迁移到该子网 其他? ...
ips
Snort DAQ:哪个 NIC 应该以混杂模式运行?
我想使用 Snort 2.x 作为 IPS。我了解到,我需要两个 NIC 来捕获流量(DAQ 模式)。 eth0= 我的网卡连接到 WAN eth1= 我的 Snort 内部(虚拟)NIC。 我当前的运行命令: snort -u snort -g snort -c /etc/snort/snort.conf --daq afpacket -i eth0:eth1 -l /var/log/snort -Q 如何启用PROMISC模式: tee /etc/rc.local <<EOF #!/bin/sh -e ifconfig eth0 pro...
ips
使用 IPS(入侵防御系统)来增强 WAF(Web 应用程序防火墙)是否有意义?
以下场景: Web 应用程序,仅限 HTTP/S 流量 防火墙仅允许端口 80/443 上的流量 WAF 已到位,将拒绝恶意流量 问题:在这种情况下,采用 IPS/深度包检测解决方案是否有任何附加价值?据我所知:没有。但我没有找到任何明确的答案。 ...
ips
如何向侦察工具隐藏源服务器 IP 地址
当谈到网络服务器安全时,我是一个偏执的人。 我在 DigitalOcean 上运行一个服务器。他们称之为 Droplet。Cloudflare 是我的 DNS 提供商,Cloudflare 代理并保护我的服务器免受 DDoS 攻击。 然而,当我尝试在 ZoomEye.org 的网络安全搜索引擎上搜索我的域名时,它找到了我的 Origin IP 地址。据研究人员称,黑客只需要知道 Origin IP 地址就可以对网站进行 DDoS 攻击。无论使用 L3 还是 L7 技术,都没有区别。 如何避免您的服务器在这些网络安全搜索引擎上透露其 IP 地址? ...
ips
应用程序在预防DDOS中的作用
我计划通过部署在 DMZ 中的反向代理将应用程序暴露给互联网客户端。我建议部署时同时使用 WAF/Cloudflare 来保护应用程序的安全。 然而,我不确定 UTM/WAF/Cloudflare 等能否确定应用程序是否需要执行任何操作以确保其可用性。 例如 我可以设想使用慢速客户端发起 DDOS 攻击,这些客户端受到 DOS 速率限制, 不断请求未受保护的应用程序资源(无法缓存) 不断发送 REST API 请求来访问我们的应用程序,但没有成功,但如果数量巨大,可能会导致应用程序崩溃 使用独特的模式请求静态资源,以便避开代理缓存并命中应用程序等 WAF...
ips
Ubiquiti EdgeRouter 上的 IDS/IPS
不久前,我将网络设置从默认 ISP 设备更改为 Ubiquiti EdgeRouter (ER-X-SFP)。目前我计划切换到静态 IPv4 地址。我还将从 ISP 获得 IPv6 前缀。 除了内置防火墙之外,我还想使用 IDS/IPS 系统来更好地保护我的网络。总的来说,我对 IDS/IDS 系统还很陌生,我试图找到一种解决方案来使用 EdgeRouter,而不是购买额外的设备。 我找不到关于这个主题的太多信息,除了由于 EdgeRouter 的 DRAM 有限(就 Suricata 而言)导致它无法工作之外。 我发现两个 IDS/IPS 系统,在我看来,...
ips
DHCP 和 macvlan:只有第一个虚拟接口适用于单播 DHCPREQUEST
我正在尝试做什么? 我正尝试通过单个物理 ISP 上行电缆上的 DHCP 获取 3 个公共 IP 地址。 出了什么问题? 更新有点不对劲。从接口来看,当 virtual0 尝试通过单播连接到 DHCP 服务器进行更新时,它工作正常。virtual1 和 virtual2 接口在单播方面失败。它们进入回退模式以使用广播并成功使用它们,但日志中充满了一些不好的东西。我正在运行 Debian 8 和 isc-dhcp-client v. 4.3.1 。 我在启动时设置了如下接口: IF_VIRTUAL_BASE=eth0 IF_PUB0=虚拟0 IF_PUB1=虚...
ips
Suricata-update 不一致地应用修改规则
我有以下/etc/suricata/modify.conf文件: ## Reject by classtype re:classtype:\s*attempted-user "alert(.*)" "reject\\1" # high Attempted User Privilege Gain re:classtype:\s*unsuccessful-user "alert(.*)" "reject\\1" # high Unsuccessful User P...
ips
Kubernetes 中 Web 应用程序的 IPS
我们在 Azure 上的 Kubernetes 中托管了一个应用程序。在与我们共享的安全合规性文档中,有多个点提到了实施 IPS(入侵防御系统)。我了解 IPS 提供的功能和安全性。我想知道这是否真的适用于我们的情况。基本上,我有 2 个问题。 IPS 对 Web 应用程序来说是否必要?IPS 不是由组织机构实施的吗? 如果 IPS 适用于中型 Web 应用程序,那么它是否可以用于托管在 Kubernetes 中的应用程序?可能面临哪些挑战? ...
ips
Snort 正在接收流量,但似乎没有应用规则
我已经安装了 snort,并通过 NFQUEUE 在本地网关(因为我可以走进隔壁房间并触摸它)上以内联模式运行。我的 中有以下规则/etc/snort/rules/snort.rules: alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybti...
ips
对 Snort 2.8.6 使用 Snort 2.9 规则
不幸的是,自 2017 年以来,Snort 一直没有发布规则更新 2.8.6。所有客户都应该升级到 2.9。但 2.9 是 X64,而我的操作系统是 Fedora X86。我需要更新我的 Snort 2.8.6 签名。是否有任何来源可以获得更新或任何将 2.9 规则转换为 2.8.6 的解决方案? ...
ips
Suricata 记录“检测到网络木马”。这是误报吗?
我用苏里卡塔作为本地网络上的 IDS,它不连接互联网。它记录了一些来自某些客户端的警报,这些警报表示A Network Trojan was detected。所有日志的属性如下: 协议:006 来源:客户端 IP 目的地:服务器 IP 签名:ET POLICY SMB2 NT 为临时目录中的可执行文件创建 AndX 请求。 签名 ID:1:2025703:2 类别:检测到网络木马 我已经更新了卡巴斯基防病毒软件,并且我也更新了 Malwarebytes,但是,他们没有检测到任何木马。 问题: 这是一个误报还是可能是...
ips
Snort 不会嗅探除自己的流量以外的任何流量
我目前正在尝试在本地机器上设置 Snort。目前我有 3 个虚拟机:1 个装有 Snort,另外 2 个用于相互 ping。每当我从其中一个设备 ping 到 Snort 机器时,Snort 都会注意到并发送警报。但是,当我在 2 个“非 Snort”机器之间 ping 时,Snort 不会注意到任何事情。 我一直被告知 Snort 会像 Wireshark 一样工作,并注意到所有网络流量。我错了吗? 如果有帮助的话,这是我使用的指南:https://upcloud.com/community/tutorials/install-snort-ubuntu...
ips
将两个 DNS 主机指向四台服务器是一个好主意吗
我正在尝试向我们的池中添加另外两个 DNS 服务器,以便在负载下提高可靠性并避免由于攻击或硬件问题而失去访问者。 由于我们设置了许多网站指向 ns1.domain.com 和 ns2.domain.com,我一直在想是否可以将 ns1.domain.com 指向两台不同的机器,并对 ns2 执行相同的操作。 我猜测这将起到循环的作用,一些客户最终会连接到第一台机器,一些连接到第二台机器,一些连接到第三台机器,依此类推。 然而,这可能会破坏 DNSSEC 等某些规范,或使机器混淆为某种 DNS 欺骗。 这可能吗/推荐吗?或者最好更改所有委派并添加 4 ...