IDS逃避技术和对策

3.会话拼接(session splicing，叫会话分割更合适一些)

4.碎片攻击

4.1.碎片覆盖

4.2.碎片数据覆盖

4.3.碎片超时

5.碎片和snort特征码

6.拒绝服务

结论

在网络蓬勃发展的几天，网络安全问题日益突出。网络上的黑、白两道在网络安全的各个领域都展开了激烈的竞争。黑帽社团不断推 出躲避或者越过网络入侵检测系统(Network Intrusion Detection System,NIDS)的新技术，而NIDS的开发者不断地在自己的产品中加入 对这些技术的检测。但是，由于NIDS本身的局限性，胜利的天平正在向黑帽子倾斜。本文将讨论一些基本的IDS躲避技术，以及如何 识破这些技术。

1.字符串匹配的弱点

针对基本字符串匹配弱点的IDS躲避技术是最早被提出和实现的。一些基于特征码的入侵检测设备几乎完全依赖于字符串匹配算法， 而对于一个编写很差的特征码，攻击者可以轻松地破坏对其的字符串匹配。虽然不是所有的入侵检测系统都是纯粹基于特征码检测 的，但是绝大多数对字符串匹配算法有很大的依赖。这里，我们将使用开放源码工具snort的特征码来进行讨论。

 在UNIX系统中，/etc/passwd是一个重要的文件，它包含用户名、组成员关系和为用户分配的shell等信息。我们就从监视对/etc/passwd 文件的访问开始，下面是用于检测的snort检测规则：

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";

flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122;rev:1)

snort使用字符串匹配算法对包含特征码(/etc/passwd)的HTTP请求进行检测。但是，这个规则的特征码过于简单了，攻击者修改攻击字 符串可以很轻松地逃过检测(我们暂时不考虑攻击请求是通过HTTP发出的)。例如，把攻击请求由GET /etc/passwd改为GET /etc//\// passwd，或者GET /etc/rc.d/.././\passwd，修改方式简直不计其数。这是最基本的娶亲检测逃避技术，对这种技术的检测也相对容易一 些，只要在编写特征码时能够仔细考虑一下攻击可能出现的变体。目前大多数流行入侵检测系统都有非常强大的字符串匹配能力，足 以检测此类攻击的大多数变体。不过，仍然有些编写不太好的特征码可以给攻击者以可乘之机。

攻击者还可以在此基础上再加以变化，几乎不费吹灰之力就可以加大入侵检测系统的防御难度。例如在telnet之类的交互会话中，攻击 者企图读取/etc/passwd文件。通常，入侵检测系统中存在很多特征码一些误用操作和后门等，但是这些特征码一般只包含黑客工具 名、文件名和程序名。在获得/etc/passwd文件的内容时，我们不直接输入cat /etc/passwd等命令行，而是通过一个命令解释器(例 如：perl)来实现我们的目的：

badguy@host$ perl -e

$foo=pack(“C11”,47,101,116,99,47,112,97,115,115,119,100);

@bam=`/bin/cat/ $foo`; print”@bam\n”;’

从这个命令中，入侵检测系统根本就不会重组出/etc/passwd这些字符。显然，防御这种攻击就很困难了，因为这要求入侵检测系统必 须能够理解这种解释器如何收到的命令，这恐怕不太现实。当然，入侵检测系统也可以对使用解释器的可疑行为进行报警，但是它很 难对攻击行为进行精确的监视。

通过把字符串处理技术和字符替换技术结合到一起，我们可疑实现更复杂的字符串伪装。对于WEB请求，我们不必使用命令解释器， 在我们的请求中使用16进制的URL即可，以下的请求可以被目标WEB服务器解释为/etc/passwd：

GET %65%74%63/%70%61%73%73%77%64

或者

GET %65%74%63/%70a%73%73%77d

为了捕获这一个字符串的所有变体，你可能需要1000个以上的特征码进行字符串匹配，这还没有考虑UNICODE。UNICODE提供了另一 种字符表达方式。有关UNICODE的IDS欺骗技术细节，本文将不多做讨论。如果想了解更多细节请参考SecurityFocus的IDS Evasion with Unicode。除此之外，RainForestPuppy在他的HTTP扫描工具Whisker中采用了另外一些IDS欺骗技术：

-I 1 IDS-evasive mode 1 (URL编码)

-I 2 IDS-evasive mode 2 (/./目录插入)

-I 3 IDS-evasive mode 3 (过早结束URL)

-I 4 IDS-evasive mode 4 (长URL)

-I 5 IDS-evasive mode 5 (伪造参数)

-I 6 IDS-evasive mode 6 (TAB分割) (not NT/IIS)

-I 7 IDS-evasive mode 7 (大小写敏感)

-I 8 IDS-evasive mode 8 (Windows分割符)

-I 9 IDS-evasive mode 9 (会话拼接) (slow)

-I 0 IDS-evasive mode 0 (NULL方法)

如果想了解上面这些方法的技术细节，可以参考A Look At Whisker's Anti-IDS Tactics。需要特别说明的是，rfp把whisker采用的anti-ids技术 单独放到了libwhisker(使用perl编写的)库中，为其它的程序采用这些技术提供了很大的便利。另外，nessus和babelweb等扫描工具都 有自己的应用层入侵检测躲避技术。

现在，IDS开发人员对各种网络协议有了更深入的理解，并且入侵检测设备在对数据包的负载进行字符串匹配之前会进行必要的协议 分析，因此现在的IDS已经能够很好地处理上述的欺骗技术了。但是多余的字符转换又提高了入侵检测系统的负载，有时是得不偿 失。为了减小这个跗面影响，开发人员可以使入侵检测系统只在特定的端口进行字符转换。

2.多变shell代码(polymorphic shell code)

多变shell代码(polymorphic shell code)技术由K2开发的，设计思想来源于病毒逃避(virus evasion)技术。使用这种技术重新构造的shell代 码更为危险，入侵检测设备非常难以检测到。这种技术只用于缓冲区溢出攻击，对付基于特征码的检测系统非常有效，而对于智能化 的或者基于协议分析的检测系统的效果要差很多。为了便于讨论，我们以SSH CRC32缓冲区为例。我们先看以下snort检测规则：

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32

overflow /bin/sh"; flags:A+; content:"/bin/sh"; reference:bugtraq,2347;

:cve,CVE-2001-0144; classtype:shellcode-detect; sid:1324; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32

overflow NOOP"; flags:A+; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90 90)

上面的第一条规则简单地检查从外部到$HOME_NET，目标端口是22的数据包，搜索里面是否包含字符串/bin/sh。第二条规则是检查是否 包含x86空操作字符(0x90)。多变shell代码(polymorphic shell code)使用很多方法逃避字符串匹配系统的检测。首先(以x86架构为例)， 使用其它的字符代替0x90执行无操作(no-op)指令。对于X86架构，有55种替代方式，其它的要少一些。这些替代方式以一种伪随机的 方式结合到一块，建立缓冲区溢出shell代码包含无操作(no-op)指令的部分。想了解无操作(no-op)指令的所有替代字符可以参考http:// cansecwest.com/noplist-v1-1.txt。除此之外，shell代码本身也采用XOR机制编码。通过这种方式建立的缓冲区溢出shell代码被重组后不会包 含以上的特征码，从而能够逃过字符串匹配检测。

多变shell代码检测对基于特征码检测的IDS是一个很大的挑战。Next Generation Security Technologie公司的技术白皮书Polymorphic Shellcodes vs. Application IDSs中提出了一些检测多变shell代码的设想。通过搜索无操作(no-op)字符的一个特定长度的正则表达式，可以实现对多变 shell代码的精确检测。最近，Dragos Ruiu发布了一个用于检测多变shell代码的snort预处理插件spp_fnord，这个插件采用了和上面相似的 检测技术。这个预处理插件有端口和长度两个配置选项。例如，如果某个人在配置时设置了80、21、23和53等端口，它就只对这几个 端口的数据流量进行多变shell代码的检测，而不会对其它端口(例如：22)进行检测。

3.会话拼接(session splicing，叫会话分割更合适一些)

上面讨论的这些方法都是属于攻击数据在一个数据包中的情况，没有涉及攻击数据和会话通过多个数据包投递的情况。RFP在Whisker 中实现了一种IDS逃避技术叫作会话拼接(session splicing)，就是把会话数据放到多个数据包中发出，例如：

+-------------------------+

| packet number | content |

|---------------+---------|

| 1 | G |

|---------------+---------|

| 2 | E |

|---------------+---------|

| 3 | T |

|---------------+---------|

| 4 | 20 |

|---------------+---------|

| 5 | / |

|---------------+---------|

| 6 | H |

+---------------+---------+

通过这种方式，每次只投递几个字节的数据，就可能避开字符串匹配入侵检测系统的监视。要监视这种攻击，需要入侵检测系统或者 能够理解、监视网络会话(即使IDS有这种能力，攻击者也可以通过其它的凡是避开监视)，或者采用其它的技术监视这种攻击。snort使 用以下规则来监视会话拼接：

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC whisker

space splice attack"; content:"|20|"; flags:A+; dsize:1;

reference:arachnids,296; classtype:attempted-recon; reference)

这条规则使snort检测目标为$HTTP_SERVERS 80端口的ACK报文的负载长