主要的反NIDS技术应用介绍

　　2.针对缓冲区溢出：一些NIDS检测远程缓冲区的主要方式是通过判断数据包的内容是否包括/bin/sh或者是否含有大量的NOP。针对IDS的这种检测办法，有的溢出程序的NOP考虑到用eb 02 代替，但这种方式目前也已经成为一些NIDS检测是否为缓冲区溢出时匹配的标志。不过，k2先生又写了一个加密shellcode的程序 ADMmutate，利用了名为多形态代码的技术，使攻击者能够潜在的改变代码结构来欺骗许多入侵检测系统，但它不会破坏最初的攻击性程序。溢出程序经它一改，就可以摇身一变，而且由于采用了动态改变的技术，每次伪装的shellcode都不相同,本来NIDS依靠提取公开的溢出程序的特征码来检测报警，特征码变了后NIDS就检测不到了。

　　伪装前的shellcode格式为：

　　[NNNNNNNNNNNNN][SSSS][RRRR]

　　伪装后的shellcode格式为：

　　[nnnnnnn][dddd][ssss][rrrr]

　　其中：

　　N表示NOP，S表示shellcode，R表示返回地址；

　　n表示经过编码的NOP，d为解码器，s表示经过编码的shellcode，r表示返回地址。

　　经过ADMmutate伪装的shellcode可以逃过使用模式匹配并且利用字符串匹配的大部分NIDS！不过如果NIDS还依靠长度，可打印字符等等综合判断，则ADMmutate还是不能逃脱NIDS的监视，但是依靠长度、可打印字符等判断未必准确，以此判断会造成IDS漏报或误报。不过，对于使用模式匹配的NIDS来说，目前仍只能通过长度等简单的判断！

　　3.针对木马：IDS检测木马和后门程序一般是通过端口来判断的，一般是通过后门程序的默认端口的连接来判断的，如Netspy的默认端口是7306， BO2k的默认端口是54320（1），所以只要后门程序不使用默认值就可以逃过一些IDS的法眼。目前大部分后门程序的通信都已采用加密的方式，所以目前的大部分NIDS只能通过非正常端口建立连接来判断，如果后门程序采用正常的端口进行通信，IDS就很有可能漏报！

　　4.其它方法：

　　缓慢扫描：一般的IDS是通过在一定时间内某个IP扫描过的端口数或IP数是否超过阀值来判断是否扫描，所以如果扫描的间隔超过IDS中指定的时间，而且采用多个IP协同扫描的话，IDS就不能判断攻击者是否扫描。

　　地址欺骗：利用代理或者伪造IP包进行攻击，隐藏攻击者的IP，使NIDS不能发现攻击者所在。目前的NIDS只能根据异常包中的地址判断攻击来源。

　　利用LLKM处理网络通信：利用LLKM简单、临时改变TCP/IP协议栈的行为，如更改出现在网络传输线路上的TCP标志位，躲避一些IDS的监视。

　　复杂的TCP/IP包处理：利用IDS不能正确模拟所有的TCP/IP栈的可能行为，对TCP/IP数据包进行特殊的处理以避过IDS。如将TCP/IP 包分成很小的碎片，或者是打乱包的发送顺序，或者是发送重叠的包，或者是包含有不正确校验和、不正确序列号等，正常的TCP/IP软件可以正确重组和处理包，而有相当多的NIDS不能正确处理这些包，所以会忽略基于这种特殊包的攻击。测试NIDS关于TCP/IP包的处理能力，可以使用 fragrouter 或者 Cybercop Scanner。

　　结论：

　　由于目前的NIDS绝大部分是采用sniffer形式抓包，以模式匹配的方式检测和分析入侵，不能处理和分析加密或伪装后的数据包，特别是在网络负载流量高的情况下，许多NIDS会出现丢包现象，所以NIDS仍然存在误报、漏报的可能。黑客如果将上面的一些方法巧妙的结合起来，仍可以逃避目前一些 NIDS的监视。