Проверка возможностей обнаружения в режиме ICAP

Этот раздел содержит информацию о том, как проверить работу Kaspersky Scan Engine в режиме ICAP.

Проверка корректности обнаружения Kaspersky Scan Engine вредоносных и фишинговых URL-адресов

Чтобы убедиться, что Kaspersky Scan Engine обнаруживает вредоносные URL-адреса корректно:

1. Убедитесь, что директория с шаблонами ответов содержит шаблон по умолчанию detect_req.
2. Настройте Kaspersky Scan Engine. Задайте значение параметра RulesFilePath для директории, которая содержит kavicapd_gui_rules.conf, образец файла правил службы, включенный в пакет распространения.
3. Запустите службу kavicapd.
4. Создайте файл .txt со следующим содержимым:

   REQMOD icap://127.0.0.1/req ICAP/1.0

   Host: 127.0.0.1

   Encapsulated: req-hdr=0, null-body=112

   GET /TesT/Wmuf_w HTTP/1.1

   Host: www.bug.qainfo.ru

   Accept: text/html, text/plain

   Accept-Encoding: compress

   Скачать пример

   Убедитесь, что каждая строка заканчивается на CRLF, как того требует RFC 2616. Также убедитесь, что файл заканчивается пустой строкой (строкой, состоящей из символов CRLF).

   Это сообщение запроса REQMOD GET ICAP.

   В сообщении запрашивается тестовая страница без реального вредоносного контента.

5. Сохраните файл с соответствующим именем. В следующем примере этот файл называется icap_reqmod_malicious_detect.txt.
6. Отправьте сообщение на порт, который использует служба kavicapd (по умолчанию порт 1344).

   Конкретный способ отправки зависит от операционной системы, которую вы используете. В этом примере показано, как отправить сообщение, используя netcat:

   cat icap_reqmod_malicious_detect.txt | nc localhost 1344

   Служба kavicapd ответит измененными заголовками сообщений и сообщением с информацией о заблокированном URL-адресе.

7. Убедитесь, что тестовая веб-страница была заблокирована.

   Когда веб-страница заблокирована, служба kavicapd возвращает HTML-шаблон ответа detect_req. Шаблон ответа содержит следующую информацию о заблокированной веб-странице:

   Mode: REQMOD

   Object name:

   Date: 2017-May-31 14:13:29.295710

   ICAPD version: KL ICAP Service v1.0 (KAV SDK v8.5.1.83)

   KAV SDK Version: KAV SDK v8.5.1.83

   URL: http://bug.qainfo.ru/TesT/Wmuf_w

8. Создайте файл .txt со следующим содержимым:

   REQMOD icap://127.0.0.1/req ICAP/1.0

   Host: 127.0.0.1

   Encapsulated: req-hdr=0, null-body=114

   GET /TesT/Aphish_w HTTP/1.1

   Host: www.bug.qainfo.ru

   Accept: text/html, text/plain

   Accept-Encoding: compress

   Скачать пример

9. Сохраните файл с соответствующим именем. В следующем примере этот файл называется icap_reqmod_phishing_detect.txt.
10. Отправьте сообщение на порт, который использует служба kavicapd.

    cat icap_reqmod_phishing_detect.txt | nc localhost 1344

11. Убедитесь, что тестовая веб-страница была заблокирована.

    Когда веб-страница заблокирована, служба kavicapd возвращает HTML-шаблон ответа detect_req. Шаблон ответа содержит следующую информацию о заблокированной веб-странице:

    Mode: REQMOD

    Object name:

    Date: 2017-May-31 14:13:29.295710

    ICAPD version: KL ICAP Service v1.0 (KAV SDK v8.5.1.83)

    KAV SDK Version: KAV SDK v8.5.1.83

    URL: http://bug.qainfo.ru/TesT/Aphish_w

Проверка корректности обнаружения Kaspersky Scan Engine вредоносного содержимого в HTTP-трафике

Чтобы убедиться, что Kaspersky Scan Engine обнаруживает вредоносный контент в HTTP-трафике корректно:

1. Убедитесь, что директория с шаблонами ответов содержит шаблон по умолчанию detect_req.
2. Настройте Kaspersky Scan Engine. Задайте значение параметра RulesFilePath для директории, которая содержит kavicapd_gui_rules.conf, образец файла правил службы, включенный в пакет распространения.
3. Запустите службу kavicapd.
4. Создайте файл .txt со следующим содержимым:

   REQMOD icap://127.0.0.1/req?arg=87 ICAP/1.0

   Host: 127.0.0.1

   Encapsulated: req-hdr=0, req-body=155

   POST /origin-resource/form.pl HTTP/1.1

   Host: www.origin-server.example.com

   Accept: text/html, text/plain

   Accept-Encoding: compress

   Pragma: no-cache

   44

   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

   0

   Скачать пример

   Убедитесь, что каждая строка заканчивается на CRLF, как того требует RFC 2616.

   Это сообщение запроса REQMOD POST ICAP.

   Оно содержит стандартный файл для тестирования антивируса (EICAR). Стандартный файл для тестирования антивируса (EICAR) не является вирусом и часто используется для тестирования антивирусного программного обеспечения.

5. Сохраните файл с соответствующим именем. В следующем примере этот файл называется icap_reqmod_detect.txt.
6. Отправьте сообщение на порт, который использует служба kavicapd (по умолчанию порт 1344).

   Конкретный способ отправки зависит от операционной системы, которую вы используете. В этом примере показано, как отправить сообщение, используя netcat:

   cat icap_reqmod_detect.txt | nc localhost 1344

   Служба kavicapd ответит измененными заголовками сообщений и сообщением с информацией об обнаруженном объекте.

7. Убедитесь, что стандартный файл для тестирования антивируса (EICAR) был обнаружен.

   При обнаружении файла EICAR служба kavicapd возвращает HTML-шаблон ответа detect_req. Шаблон ответа содержит следующую информацию об обнаруженном объекте:

   Mode: REQMOD

   Object name: EICAR-Test-File

   Date: 2017-May-31 14:17:12.077704

   ICAPD version: KL ICAP Service v1.0 (KAV SDK v8.5.1.83)

   KAV SDK Version: KAV SDK v8.5.1.83

   URL: www.origin-server.example.com/origin-resource/form.pl

Тестирование корректности проверки репутации файлов и URL

Чтобы убедиться, что проверка репутации файлов и URL-адресов выполняется корректно:

1. Запросите тестовый файл KSN у своего персонального технического менеджера. Этот файл не является вредоносным и используется только для тестирования корректности проверки репутации файлов и URL-адресов.
2. Убедитесь, что директория с шаблонами ответов содержит шаблон по умолчанию detect_req.
3. Настройте Kaspersky Scan Engine.
   • Задайте значение параметра RulesFilePath для директории, которая содержит kavicapd_gui_rules.conf, образец файла правил службы, включенный в пакет распространения.
   • Убедитесь, что для параметра UseKSN установлено значение 0.
4. Запустите службу kavicapd.
5. Создайте файл .txt со следующим содержимым:

   REQMOD icap://127.0.0.1/req?arg=87 ICAP/1.0

   Host: 127.0.0.1

   Encapsulated: req-hdr=0, req-body=155

   POST /origin-resource/form.pl HTTP/1.1

   Host: www.origin-server.example.com

   Accept: text/html, text/plain

   Accept-Encoding: compress

   Pragma: no-cache

   Скачать пример

6. Под содержимым, которое вы добавили в файл .txt, вставьте новую строку.
7. Под этой строкой вставьте содержимое тестового файла KSN.

   Убедитесь, что каждая строка заканчивается на CRLF, как того требует RFC 2616.

8. Сохраните файл с соответствующим именем. В следующем примере этот файл называется icap_reqmod_detect_ksn.txt.
9. Отправьте сообщение на порт, который использует служба kavicapd (по умолчанию порт 1344).

   Конкретный способ отправки зависит от операционной системы, которую вы используете. В этом примере показано, как отправить сообщение, используя утилиту netcat:

   cat icap_reqmod_detect_ksn.txt | nc localhost 1344

10. Убедитесь, что тестовый файл KSN не обнаружен.
11. Установите значение параметра UseKSN в файле конфигурации режима ICAP равным 1.
12. Перезапустите службу kavicapd.
13. Снова отправьте icap_reqmod_detect_ksn.txt службе kavicapd.
14. Убедитесь, что тестовый файл KSN обнаружен.

В начало страницы