アンチウイルスブロックページに矛盾する動作が表示
Symptom
SSL 復号化を使用して異なる web サイトからウイルスダウンロードをテストすると、結果が異なります。
ウイルス/スパイウェアのダウンロードブロックを示す応答ページが表示され、その他のサイトでは応答ページが表示されない場合があります。最初のケースでは、応答ページがトリガーされるたびに、リセットがサーバーにのみ送信されることも確認できます。この理由は、リセットの代わりに、ファイアウォールがクライアントに応答ページを提示し、サーバーにリセットするためです。
ウイルス対策プロファイルに対して構成されたアクションは、両方ともリセットされます。
私達は異なったウェブサイトで催される EICAR ファイルの2つのサンプルと示される:
最初のウェブサイト
https://secure.eicar.org/eicarcom2.zip
テストの時点で、secure.eicar.org は IP アドレスに解決され213.211.198.58
結果の脅威ログエントリには、リセットの両方のアクションが表示されます。
web ブラウザに応答ページが表示されない:
セカンドウェブサイト
https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2.zip
テストの時点で、www.ikarussecurity.com はIP アドレスに解決され 91.212.136.200
web ブラウザに応答ページが表示されます。
Resolution
動作は「設計どおり」です。
最初のウェブサイトで提示された動作の理由, https://secure.eicar.org/eicarcom2.zip, 我々は、応答の最初のパケットの脅威を検出しない. この場合、HTTP ヘッダーは既にクライアントに送信されています。このような状況では、応答ページを送信できないため、プロファイルで構成されているクライアントとサーバーの両方にリセットを送信するのは、唯一の操作です。
2 番目のウェブサイトの場合には、https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2.zip は、我々は応答の最初のパケットで、早期に脅威を検出するので、クライアントに応答ページを送信することができます。