入侵检测系统(IDS)的弱点和局限(3)

1.3资源及处理能力局限

1.3.1针对NIDS的DoS攻击。

1.3.1.1大流量冲击

攻击者向被保护网络发送大量的数据，超过NIDS的处理能力有限，将会发生丢包的情况，从而可能导致入侵行为漏报。

NIDS的网络抓包能力与很多因素相关。例如在每个包1500字节的情况下，NIDS将超过100MB/s的处理能力，甚至达到超过500MB/s的处理能力，但如果每个包只有50字节，100MB/s的流量意味2000000包/s，这将超过目前绝大多数网卡及交换机的处理能力。

1.3.1.2 IP碎片攻击

攻击者向被保护网络发送大量的IP碎片(例如TARGA3攻击)，超过NIDS能同时进行的IP碎片重组能力，从而导致通过IP分片技术进行的攻击漏报。

1.3.1.3 TCP Connect Flooding

攻击者创建或者模拟出大量的TCP连接(可以通过上面介绍的IP重叠分片方法)，超过NIDS同时监控的TCP连接数的上限，从而导致多余的TCP连接不能被监控。

1.3.1.4 Alert Flooding

攻击者可以参照网络上公布的检测规则，在攻击的同时故意发送大量的将会引起NIDS报警的数据(例如stick攻击)，将可能超过NIDS发送报警的速度，从而产生漏报，并且使网管收到大量的报警，难以分辨出真正的攻击。

如果发送100字节便可以产生1条报警，则通过拨号上网每秒可以产生50条报警，10M局域网内每秒可以产生10000条报警。

1.3.1.5 Log Flooding

攻击者发送大量的将会引起NIDS报警的数据，最终导致NIDS进行Log的空间被耗尽，从而删除先前的Log纪录。

1.3.2内存及硬盘限制

如果NIDS希望提高能够同时处理的IP碎片重组及TCP连接监控能力，这将需要更多的内存做缓冲，如果NIDS的内存分配及管理不好的话，将使系统在某种特殊的情况下耗费大量的内存，如果开始使用虚拟内存，则将有可能发生内存抖动。

通常硬盘的速度远远比不上网络的速度，如果系统产生大量的报警纪录到硬盘，将耗费掉大量的系统处理能力，如果系统纪录原始网络数据，保存大量和高速的网络数据将需要昂贵的大容量RAID。