如何提供IPS封包以進行誤報分析?
Zyxel Employee
情境
IPS 誤報發生在 IPS 檢測到惡意活動時,該活動被錯誤地識別為攻擊。有時它會對業務產生負面影響。如果我們想向 Zyxel 支持報告誤報事件/ID,我們需要提供相關信息/日誌以供分析。此演示說明如何提供 IPS 封包以進行誤報分析。
示範操作
在我們對防火牆進行抓取封包之前,請更新到最新的IPS特徵碼版本。
單擊“CONFIGURATION”>“Signature Update”>“Signature”中的IPS 更新。
確保它是最新版本,然後單擊“確定”。
在本次示範中,我們從內網主機下載 eicar 文件(ID:112012)。
步驟 1. SSH 到防火牆,並輸入以下 CLI 以啟用特徵碼 ID 112012 的 IPS 封包紀錄。
Router# idp packet-capture enable
Router# idp packet-capture select enable
Router# idp packet-capture select add-id 112012
步驟 2. 藉由在 LAN 主機中運行相同的應用程序/軟件來重現問題。
在本實驗室測試中,我們通過 CLI 在 Linux 主機中下載 eicar 文件
wget http://www.csm-testcenter.org/cgi-bin/eicar.com
可以看到,eicar文件下載失敗。IPS 功能觸發重置了會話。
步驟 3. 確保應用程序/軟件是否被 IPS 簽名 ID 112012 阻止。
轉到 MONITOR > Log > View Log 查看是否有 IPS 阻止日誌。
第四步,下載封包和匹配規則的檔案。
轉到 Diagnostics > Packet Capture > Files 並下載那些“zyidp”文件
Step 5. 去除簽名ID 112012,關閉IPS抓取封包。
Router#> idp packet-capture disable
Router# > idp packet-capture select del-id 112012
Router# > idp packet-capture select disable
我們可以通過下面的 CLI 檢查狀態,看看它是否被禁用。
Router# > idp packet-capture show status
完成上述操作後,請向 Zyxel 提供以下信息以進行誤報分析。
1.韌體版本
2.IPS特徵碼版本
3.IPS封包擷取檔案的跟匹配規則的檔案
