求助小四:关于匹配IP包的正则表达式
问题如下:不知道一般商业公司如果对安全漏洞进行分析的话,用什么类型的正则表达式?
因为一般egrep,perl的regex都不大一样。
我是新手,还不指望自己挖掘什么漏洞,只是通过抓包分析的话 怎么样上手会比较快?
比如说Vulnerability Detection的template大概是怎么一个样子
不是想窃取商业机密 只是想获取一个初步的思路,之前watercloud转载的一个开发扫描器的帖子找不到了,如果知道,能否告知?
多谢帮助。 比如说 一般如果Vulnerability确实存在 那么在抓包时要关注哪些重要的字段和偏移量呢?
比如TCP包头和UDP包头的哪些位置 数据段或者?
谢谢了 四哥。 我不是IDS/IPS线上的,你的问题我也没特别关注过。不过根据我的经验,这个用正则表达式,效率不会很高。只能是具体到每个漏洞,设置针对性极强的规则。
DNS协议显然会有别于SNMP协议,所以你的第二个问题也是没有答案的。
总的来说,就是特定协议解码。 对 就是针对Vulnerability Scaner的插件的东西
协议解码是否就是用根据RFC文档规定
然后用工具抓包分析,写到模板里面
一般常用的是TCP Dump 还是Wireshark
[[i] 本帖最后由 tobe 于 2008-4-20 21:41 编辑 [/i]] wireshark只是辅助工具,私有协议你得自己去分析,就算是公开的,wireshark也未必都解了。
RFC所包括的协议只是很少的一部分。协议解码一般都会走向逆向工程,不可能只凭抓包解决问题 明白了 四哥。
页:
[1]