如何自定义抓包进行漏洞特征分析
9590
Created On 10/22/21 17:04 PM - Last Modified 03/02/23 03:09 AM
Objective
在误报或漏报的情况下收集解密的完整数据包捕获以分析漏洞签名。
完整的数据包捕获对于在我们的实验室环境中重现该问题至关重要。
Environment
- 帕洛阿尔托 Firewall
- 任何PAN-OS
Procedure
- 虽然我们对漏洞保护的误报率或漏报率很低(IPS签名)我们仍然会看到一些情况,我们要么错误地识别了威胁,要么错过了它。
- 在误报情况下,我们需要完整的解密数据包捕获;在 False Negative 的情况下,我们需要完整的解密数据包捕获和相关的威胁日志。
- 扩展威胁数据包捕获:
- 除了少数情况外,大多数情况下都可以通过扩展威胁数据包捕获来分析间谍软件签名。 可以在以下位置找到如何启用扩展威胁数据包捕获进行威胁数据包捕获. 对于漏洞签名,有时扩展威胁数据包可能很有用。
- 端点上的流量捕获:
- 可以捕获客户端或服务器端点上的流量。 这HTTPS流量可以被解密SSL使用浏览器(chrome 或 Firefox)和 Wireshark,如何解密SSL是一篇解释它的文章。
- 对于不SSL流量,它可以在客户端或服务器上捕获。
- 捕捉到Firewall监控选项卡:
- 定义尽可能窄的数据包捕获标准。
- 例如,选择 Ingress Interface,SourceIP地址,目的地IP地址、源端口、目的端口、协议(ICMP , IPV4,RDP ,IGMP )、源端口和目标端口。 选择也转到非IP或 IPv6。
- 限制字节数和数据包数的捕获
- 确保对感兴趣的流量启用解密
- 启用解密端口镜像以捕获流量。 配置解密端口镜像解释了这些步骤。
- 抓包时,请带上相关的威胁和流量日志。 我们需要威胁日志,因为我们使用威胁日志来匹配实际触发威胁的数据包。
- 如果您正在进行渗透测试或使用外部测试设备,请提供以下信息
- 设备名称和软件版本
- 一些设备,例如断点和 mu-dynamic,有助于自己捕获;请在测试设备上拍摄。
- 如果您使用的是需要许可证的渗透测试工具,例如 Cobal Strick,最好由客户提供捕获。
- 请添加您的FirewallPAN-OS版本和当前安装的漏洞Firewall.