IPS和WAF功能对比
IPS其工作原理是检测数据包有效载荷提取特征如下图所示 然后与设备加载的攻击特征码进行比对 设备加载的特征码都是从已知通用应用协议或应用系统漏洞中提取出来的专门针对这类通用漏洞的攻击防护大部分能通过打补丁的方式解决。然而经业界众多专业厂商研究分析 目前攻击者大多采用的是针对代码容的攻击手段 而不是采用传统特征库中已有的通用攻击手段。 IPS具备了针对已知通用应用协议或应用系统漏洞的防护但对于目前普遍定制开发的web站点系统 由于应用代码中的漏洞而带来的应用攻击不能提供有效的防御尤其是对一些逻辑关系复杂的应用攻击。 例如如果代码编写者对用户提交的数据未做适当的检查验证 用户可以利用web页面中提交数据的表单构造访问后台数据库的SQL指令从而能够非授权操作后台数据库达到获取敏感信息、破坏数据库容和结构、甚至利用数据库本身的扩展功能控制web服务器操作系统如此不仅能够达到网页挂马 还可以构成对web服
务器的其他攻击篡改网页容更是轻而易举。
图 IPS检测数据包有效负载比对特征进行攻击防御
?举例说明
比如SQL注入它们都是可以防护的但防护的原理有区别 IPS基本是依靠静态的签名进行识别也就是攻击特征这只是一种被动安全模型。 如下是一个S n o rt的告警规则alert tcp$EXTERNAL_NET any->$HTTP_SERVERS$HTTP_PORTS(msg“:SQL Injection -Paranoid”; flow:to_server,establ ished;uriconte“nt. :asp”;pcre:“/(%27)|(„ )|(--)|(%23)|(#)/i ”;classtype:Web-appl ication-attack;sid:9099; rev:5;)这里主要是检查在SQL注入中提交的元字符包括单引号( ' )和双横
( -- )从而避免注入'1 or 1=1—之类的攻击发生但同时又要考虑这些元字符转换成Hex值来逃脱过滤检查 于是又在规则里增加了其对应的十六进制编码后的字符串。
当然要从签名特征来识别攻击要考虑的东西还很多不仅元字符还有
SQL关键字包括 select in sert update等 以及这些关键字的大小写变形和拼接利用注释逃脱过滤如下所示例
使用大小写混杂的字符 SeLecT fRom“
把空格符替换为TAB符或回车符 sel ect[TAB]from
关键词之间使用多个空格 select from
字符串的数值编码 0x1或0x100
插入被数据库忽略的注释串 sel/**/ect fr/**/om select/**/from使用数据库支
持的一些字符串转换功能 char(65)或chr(65)使用数据支持的字符串拼接操
作 'sel '+'ect '+'fr'+'om'”、sel ' | | 'ect ' | | 'fr' | | 'om'
可以设想一下 如果要检测以上的变形字符后的攻击则需要增加相应的签名特征但更重要的是要充分考虑转换编码的种类上面示例的s n o rt的规则把可疑字符以及其转换后的Hex值放入同一条规则里检查 如果对于变形后繁多的攻击种类这是滞后的并且会造成签名臃肿。
对于比较粗浅的攻击方式两者都能防护但市面上大多数IPS是无法对报文编码做多重转换的所以这将导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可绕过输入检查而直接提交给应用程序。
而这恰恰又是WAF的优势能对不同的编码方式做强制多重转换还原成攻击明文把变形后的字符组合后在分析。
同时WAF具有更多的功能特性包括安全交付能力、基于cach e的应用加速、挂马检查、抗DDOS攻击、符合PCIDSS的防泄密要求等所以WAF不仅仅能做到攻击防护同时也能满足客户体验和做到数据防护的高度集成的专业产品
?总结
1 、需求方面
A) IPS部署在网络出口处用于入侵防御对网络净化可以做到网
络防护、应用防护和容管理。为用户提供从网络层、应用层到
容层的深度安全防护。
B) WAF部署在WE B服务器群前面主要针对WE B服务器的保护。
2、技术方面
A) IPS主要是基于特征代码的静态匹配。
B) WAF针对WE B服务器的防护除了具有特征码静态匹配外还
具有如下IPS所不具备的特点
具有HTTP应用代理能够识别检测HTTP/HTTPS协议容及
具体数据的能力支持各种 web编码例如ASP、 PHP、 JSP等。
检测URL参数、web表单输入、 HTTP header等web交互信息在进行解码的基础上对攻击的形式逻辑进行判断过滤。
验证HTTP/HTTPS协议会话的可靠性弥补HTTP协议会话管理机制
的缺陷防御基于会话的攻击类型如Cookie篡改及会话劫持等攻击
?防火墙、 IPS与WAF的区别
NameCheap商家如今发布促销活动也是有不小套路的,比如会在提前一周+的时间告诉你他们未来的活,比如这次2021年的首次活动就有在一周之前看到,但是这不等到他们中午一点左右的时候才有正式开始,而且我确实是有需要注册域名,等着看看是否有真的折扣,但是实际上.COM域名力度也就一般需要51元左右,其他地方也就55元左右。当然,这次新年的首次活动不管如何肯定是比平时便宜一点点的。有新注册域名、企业域...
有一段时间没有分享Gcore(gcorelabs)的信息了,这是一家成立于2011年的国外主机商,总部位于卢森堡,主要提供VPS主机和独立服务器租用等,数据中心包括俄罗斯、美国、日本、韩国、新加坡、荷兰、中国(香港)等多个国家和地区的十几个机房,商家针对不同系列的产品分为不同管理系统,比如VPS(Hosting)、Cloud等都是独立的用户中心体系,部落分享的主要是商家的Hosting(Virtu...
HaBangNet支持支付宝和微信支付,只是价格偏贵,之前国内用户并不多。这次HaBangNet推出三个特价套餐,其中美国机房和德国机房价格也还可以,但是香港机房虽然是双向CN2 GIA线路,但是还是贵的惊人,需要美国和德国机房的可以参考下。HaBangNet是一家成立于2014年的香港IDC商家,中文译名:哈邦网络公司,主营中国香港、新加坡、澳大利亚、荷兰、美国、德国机房的虚拟主机、vps、专用...