攻击ips vs waf 详细功能对比

waf 时间:2021-01-27 阅读:()

IPS和WAF功能对比

IPS其工作原理是检测数据包有效载荷提取特征如下图所示 然后与设备加载的攻击特征码进行比对 设备加载的特征码都是从已知通用应用协议或应用系统漏洞中提取出来的专门针对这类通用漏洞的攻击防护大部分能通过打补丁的方式解决。然而经业界众多专业厂商研究分析 目前攻击者大多采用的是针对代码容的攻击手段 而不是采用传统特征库中已有的通用攻击手段。 IPS具备了针对已知通用应用协议或应用系统漏洞的防护但对于目前普遍定制开发的web站点系统 由于应用代码中的漏洞而带来的应用攻击不能提供有效的防御尤其是对一些逻辑关系复杂的应用攻击。例如如果代码编写者对用户提交的数据未做适当的检查验证 用户可以利用web页面中提交数据的表单构造访问后台数据库的SQL指令从而能够非授权操作后台数据库达到获取敏感信息、破坏数据库容和结构、甚至利用数据库本身的扩展功能控制web服务器操作系统如此不仅能够达到网页挂马 还可以构成对web服

务器的其他攻击篡改网页容更是轻而易举。

图 IPS检测数据包有效负载比对特征进行攻击防御

?举例说明

比如SQL注入它们都是可以防护的但防护的原理有区别 IPS基本是依靠静态的签名进行识别也就是攻击特征这只是一种被动安全模型。如下是一个S n o rt的告警规则alert tcp$EXTERNAL_NET any->$HTTP_SERVERS$HTTP_PORTS(msg“:SQL Injection -Paranoid”; flow:to_server,establ ished;uriconte“nt. :asp”;pcre:“/(%27)|(„ )|(--)|(%23)|(#)/i ”;classtype:Web-appl ication-attack;sid:9099; rev:5;)这里主要是检查在SQL注入中提交的元字符包括单引号( ' )和双横

( -- )从而避免注入'1 or 1=1—之类的攻击发生但同时又要考虑这些元字符转换成Hex值来逃脱过滤检查 于是又在规则里增加了其对应的十六进制编码后的字符串。

当然要从签名特征来识别攻击要考虑的东西还很多不仅元字符还有

SQL关键字包括 select in sert update等 以及这些关键字的大小写变形和拼接利用注释逃脱过滤如下所示例

使用大小写混杂的字符 SeLecT fRom“

把空格符替换为TAB符或回车符 sel ect[TAB]from

关键词之间使用多个空格 select from

字符串的数值编码 0x1或0x100

插入被数据库忽略的注释串 sel/**/ect fr/**/om select/**/from使用数据库支

持的一些字符串转换功能 char(65)或chr(65)使用数据支持的字符串拼接操

作 'sel '+'ect '+'fr'+'om'”、sel ' | | 'ect ' | | 'fr' | | 'om'

可以设想一下 如果要检测以上的变形字符后的攻击则需要增加相应的签名特征但更重要的是要充分考虑转换编码的种类上面示例的s n o rt的规则把可疑字符以及其转换后的Hex值放入同一条规则里检查 如果对于变形后繁多的攻击种类这是滞后的并且会造成签名臃肿。

对于比较粗浅的攻击方式两者都能防护但市面上大多数IPS是无法对报文编码做多重转换的所以这将导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可绕过输入检查而直接提交给应用程序。