アンチウイルスブロックページに矛盾する動作が表示

アンチウイルスブロックページに矛盾する動作が表示

43041
Created On 09/27/18 06:29 AM - Last Modified 06/01/23 07:58 AM


Symptom


SSL 復号化を使用して異なる web サイトからウイルスダウンロードをテストすると、結果が異なります。

ウイルス/スパイウェアのダウンロードブロックを示す応答ページが表示され、その他のサイトでは応答ページが表示されない場合があります。最初のケースでは、応答ページがトリガーされるたびに、リセットがサーバーにのみ送信されることも確認できます。この理由は、リセットの代わりに、ファイアウォールがクライアントに応答ページを提示し、サーバーにリセットするためです。

 

ウイルス対策プロファイルに対して構成されたアクションは、両方ともリセットされます。

ユーザーが追加した画像

 

私達は異なったウェブサイトで催される EICAR ファイルの2つのサンプルと示される:

 

最初のウェブサイト

https://secure.eicar.org/eicarcom2.zip

テストの時点で、secure.eicar.org は IP アドレスに解決され213.211.198.58

結果の脅威ログエントリには、リセットの両方のアクションが表示されます。

 

ユーザーが追加した画像

web ブラウザに応答ページが表示されない:

ユーザーが追加した画像

 

セカンドウェブサイト

https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2.zip

テストの時点で、www.ikarussecurity.com はIP アドレスに解決され 91.212.136.200

 

ユーザーが追加した画像 

web ブラウザに応答ページが表示されます。

ユーザーが追加した画像

 

 

Resolution


動作は「設計どおり」です。

 

最初のウェブサイトで提示された動作の理由, https://secure.eicar.org/eicarcom2.zip, 我々は、応答の最初のパケットの脅威を検出しない. この場合、HTTP ヘッダーは既にクライアントに送信されています。このような状況では、応答ページを送信できないため、プロファイルで構成されているクライアントとサーバーの両方にリセットを送信するのは、唯一の操作です。

2 番目のウェブサイトの場合には、https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2.zip は、我々は応答の最初のパケットで、早期に脅威を検出するので、クライアントに応答ページを送信することができます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm6lCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language