Проверка возможностей обнаружения в режиме ICAP
05 марта 2024
ID 179903
Этот раздел содержит информацию о том, как проверить работу Kaspersky Scan Engine в режиме ICAP.
Проверка корректности обнаружения Kaspersky Scan Engine вредоносных и фишинговых URL-адресов
Чтобы убедиться, что Kaspersky Scan Engine обнаруживает вредоносные URL-адреса корректно:
- Убедитесь, что директория с шаблонами ответов содержит шаблон по умолчанию detect_req.
- Настройте Kaspersky Scan Engine. Задайте значение параметра
RulesFilePathдля директории, которая содержит kavicapd_gui_rules.conf, образец файла правил службы, включенный в пакет распространения. - Запустите службу kavicapd.
- Создайте файл .txt со следующим содержимым:
REQMOD icap://127.0.0.1/req ICAP/1.0
Host: 127.0.0.1
Encapsulated: req-hdr=0, null-body=112
GET /TesT/Wmuf_w HTTP/1.1
Host: www.bug.qainfo.ru
Accept: text/html, text/plain
Accept-Encoding: compress
Убедитесь, что каждая строка заканчивается на CRLF, как того требует RFC 2616. Также убедитесь, что файл заканчивается пустой строкой (строкой, состоящей из символов CRLF).
Это сообщение запроса REQMOD GET ICAP.
В сообщении запрашивается тестовая страница без реального вредоносного контента.
- Сохраните файл с соответствующим именем. В следующем примере этот файл называется icap_reqmod_malicious_detect.txt.
- Отправьте сообщение на порт, который использует служба kavicapd (по умолчанию порт 1344).
Конкретный способ отправки зависит от операционной системы, которую вы используете. В этом примере показано, как отправить сообщение, используя netcat:
cat icap_reqmod_malicious_detect.txt | nc localhost 1344
Служба kavicapd ответит измененными заголовками сообщений и сообщением с информацией о заблокированном URL-адресе.
- Убедитесь, что тестовая веб-страница была заблокирована.
Когда веб-страница заблокирована, служба kavicapd возвращает HTML-шаблон ответа detect_req. Шаблон ответа содержит следующую информацию о заблокированной веб-странице:
Mode: REQMOD
Object name:
Date: 2017-May-31 14:13:29.295710
ICAPD version: KL ICAP Service v1.0 (KAV SDK v8.5.1.83)
KAV SDK Version: KAV SDK v8.5.1.83
URL: http://bug.qainfo.ru/TesT/Wmuf_w
- Создайте файл .txt со следующим содержимым:
REQMOD icap://127.0.0.1/req ICAP/1.0
Host: 127.0.0.1
Encapsulated: req-hdr=0, null-body=114
GET /TesT/Aphish_w HTTP/1.1
Host: www.bug.qainfo.ru
Accept: text/html, text/plain
Accept-Encoding: compress
- Сохраните файл с соответствующим именем. В следующем примере этот файл называется icap_reqmod_phishing_detect.txt.
- Отправьте сообщение на порт, который использует служба kavicapd.
cat icap_reqmod_phishing_detect.txt | nc localhost 1344
- Убедитесь, что тестовая веб-страница была заблокирована.
Когда веб-страница заблокирована, служба kavicapd возвращает HTML-шаблон ответа detect_req. Шаблон ответа содержит следующую информацию о заблокированной веб-странице:
Mode: REQMOD
Object name:
Date: 2017-May-31 14:13:29.295710
ICAPD version: KL ICAP Service v1.0 (KAV SDK v8.5.1.83)
KAV SDK Version: KAV SDK v8.5.1.83
URL: http://bug.qainfo.ru/TesT/Aphish_w
Проверка корректности обнаружения Kaspersky Scan Engine вредоносного содержимого в HTTP-трафике
Чтобы убедиться, что Kaspersky Scan Engine обнаруживает вредоносный контент в HTTP-трафике корректно:
- Убедитесь, что директория с шаблонами ответов содержит шаблон по умолчанию detect_req.
- Настройте Kaspersky Scan Engine. Задайте значение параметра
RulesFilePathдля директории, которая содержит kavicapd_gui_rules.conf, образец файла правил службы, включенный в пакет распространения. - Запустите службу kavicapd.
- Создайте файл .txt со следующим содержимым:
REQMOD icap://127.0.0.1/req?arg=87 ICAP/1.0
Host: 127.0.0.1
Encapsulated: req-hdr=0, req-body=155
POST /origin-resource/form.pl HTTP/1.1
Host: www.origin-server.example.com
Accept: text/html, text/plain
Accept-Encoding: compress
Pragma: no-cache
44
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
0
Убедитесь, что каждая строка заканчивается на CRLF, как того требует RFC 2616.
Это сообщение запроса REQMOD POST ICAP.
Оно содержит стандартный файл для тестирования антивируса (EICAR). Стандартный файл для тестирования антивируса (EICAR) не является вирусом и часто используется для тестирования антивирусного программного обеспечения.
- Сохраните файл с соответствующим именем. В следующем примере этот файл называется icap_reqmod_detect.txt.
- Отправьте сообщение на порт, который использует служба kavicapd (по умолчанию порт 1344).
Конкретный способ отправки зависит от операционной системы, которую вы используете. В этом примере показано, как отправить сообщение, используя netcat:
cat icap_reqmod_detect.txt | nc localhost 1344
Служба kavicapd ответит измененными заголовками сообщений и сообщением с информацией об обнаруженном объекте.
- Убедитесь, что стандартный файл для тестирования антивируса (EICAR) был обнаружен.
При обнаружении файла EICAR служба kavicapd возвращает HTML-шаблон ответа detect_req. Шаблон ответа содержит следующую информацию об обнаруженном объекте:
Mode: REQMOD
Object name: EICAR-Test-File
Date: 2017-May-31 14:17:12.077704
ICAPD version: KL ICAP Service v1.0 (KAV SDK v8.5.1.83)
KAV SDK Version: KAV SDK v8.5.1.83
URL: www.origin-server.example.com/origin-resource/form.pl
Тестирование корректности проверки репутации файлов и URL
Чтобы убедиться, что проверка репутации файлов и URL-адресов выполняется корректно:
- Запросите тестовый файл KSN у своего персонального технического менеджера. Этот файл не является вредоносным и используется только для тестирования корректности проверки репутации файлов и URL-адресов.
- Убедитесь, что директория с шаблонами ответов содержит шаблон по умолчанию detect_req.
- Настройте Kaspersky Scan Engine.
- Задайте значение параметра
RulesFilePathдля директории, которая содержит kavicapd_gui_rules.conf, образец файла правил службы, включенный в пакет распространения. - Убедитесь, что для параметра
UseKSNустановлено значение0.
- Задайте значение параметра
- Запустите службу kavicapd.
- Создайте файл .txt со следующим содержимым:
REQMOD icap://127.0.0.1/req?arg=87 ICAP/1.0
Host: 127.0.0.1
Encapsulated: req-hdr=0, req-body=155
POST /origin-resource/form.pl HTTP/1.1
Host: www.origin-server.example.com
Accept: text/html, text/plain
Accept-Encoding: compress
Pragma: no-cache
- Под содержимым, которое вы добавили в файл .txt, вставьте новую строку.
- Под этой строкой вставьте содержимое тестового файла KSN.
Убедитесь, что каждая строка заканчивается на CRLF, как того требует RFC 2616.
- Сохраните файл с соответствующим именем. В следующем примере этот файл называется icap_reqmod_detect_ksn.txt.
- Отправьте сообщение на порт, который использует служба kavicapd (по умолчанию порт 1344).
Конкретный способ отправки зависит от операционной системы, которую вы используете. В этом примере показано, как отправить сообщение, используя утилиту netcat:
cat icap_reqmod_detect_ksn.txt | nc localhost 1344
- Убедитесь, что тестовый файл KSN не обнаружен.
- Установите значение параметра
UseKSNв файле конфигурации режима ICAP равным1. - Перезапустите службу kavicapd.
- Снова отправьте icap_reqmod_detect_ksn.txt службе kavicapd.
- Убедитесь, что тестовый файл KSN обнаружен.
