-
O IPS pode tomar ações como:
- Enviar um alarme,
- Descartar os pacotes maliciosos
- redefinir a conexão e / ou bloquear o tráfego do endereço IP ofensivo.
- Corrigir erros de verificação de redundância cíclica (CRC) ou Cyclic Redundancy Check − CRC
- Desfragmentar fluxos de pacotes,
- Evitar problemas de seqüência de TCP
- Limpar as opções de transporte e camada de rede indesejadas.
Letra E
Fonte:
A First Course In Ethical Hacking - Herman van Heerden
-
nada de rede consegue detectar pacotes criptografados, gente
nada de host consegue detectar ataques DoS, por possuir um escopo local, por isso são derrubáveis por DoS.
quando há um bloqueio de uma comunicação legitima (falso positivo) significa que o desempenho é reduzido
quando não há um bloqueiro de uma conexão maliciosa (falso negativo), o bloqueito a ataques se torna menos feiciente.
IPS corrige erros de CRC, siiim! item correto
-
Letra E.
Apenas para complementar...
Falso positivo: ocorre qdo a ferramenta classifica uma ação como possível intrusão, embora, na verdade, trate-se de uma ação legítima;
Falso negativo: ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela passe como se fosse uma ação legítima;
-
Um IPS de host não conseguiria identificar e bloquear um ataque de DoS à máquina local onde está instalado? Pra que serviria então?
A questão não diz nada sobre proteger a REDE de um DoS. Fala em proteger de DoS.
-
Pode sim detectar pacotes criptografados e descartar sem examinar conteudo. Baseando-se apenas quanto a regras quanto a portas e é de recostado de origem e destino.
Análise de entropia do payload pode detectar um pacote criptografado.
. O conteúdo de uma conexão tls ssl pode ser lido quando o IPs possui a sua chave privada.
-
"application-level encryption protection is a HIPS feature, whereas DoS prevention is a network IPS feature."
https://www.ciscopress.com/articles/article.asp?p=1336425&seqNum=3