入侵检测系统逃避技术和对策介绍(2)

　　通过把字符串处理技术和字符替换技术结合到一起，我们可疑实现更复杂的字符串伪装。对于WEB请求，我们不必使用命令解释器，在我们的请求中使用16进制的URL即可，以下的请求可以被目标WEB服务器解释为/etc/passwd：

　　GET %65%74%63/%70%61%73%73%77%64或者

　　GET %65%74%63/%70a%73%73%77d

　　为了捕获这一个字符串的所有变体，你可能需要1000个以上的特征码进行字符串匹配，这还没有考虑UNICODE。UNICODE提供了另一 种字符表达方式。有关UNICODE的IDS欺骗技术细节，本文将不多做讨论。如果想了解更多细节请参考SecurityFocus的IDS Evasion with Unicode。除此之外，RainForestPuppy在他的HTTP扫描工具Whisker中采用了另外一些IDS欺骗技术：

　　-I 1 IDS-evasive mode 1 （URL编码）

　　-I 2 IDS-evasive mode 2 （/./目录插入）

　　-I 3 IDS-evasive mode 3 （过早结束URL）

　　-I 4 IDS-evasive mode 4 （长URL）

　　-I 5 IDS-evasive mode 5 （伪造参数）

　　-I 6 IDS-evasive mode 6 （TAB分割） （not NT/IIS）

　　-I 7 IDS-evasive mode 7 （大小写敏感）

　　-I 8 IDS-evasive mode 8 （Windows分割符）

　　-I 9 IDS-evasive mode 9 （会话拼接） （slow）

　　-I 0 IDS-evasive mode 0 （NULL方法）

　　如果想了解上面这些方法的技术细节，可以参考A Look At Whisker’s Anti-IDS Tactics。需要特别说明的是，rfp把whisker采用的anti-ids技术 单独放到了libwhisker（使用perl编写的）库中，为其它的程序采用这些技术提供了很大的便利。另外，nessus和babelweb等扫描工具都有自己的应用层入侵检测躲避技术。

　　现在，IDS开发人员对各种网络协议有了更深入的理解，并且入侵检测设备在对数据包的负载进行字符串匹配之前会进行必要的协议分析，因此现在的IDS已经能够很好地处理上述的欺骗技术了。但是多余的字符转换又提高了入侵检测系统的负载，有时是得不偿失。为了减小这个跗面影响，开发人员可以使入侵检测系统只在特定的端口进行字符转换。

　　2.多变shell代码（polymorphic shell code）

　　多变shell代码（polymorphic shell code）技术由K2开发的，设计思想来源于病毒逃避（virus evasion）技术。使用这种技术重新构造的shell代码更为危险，入侵检测设备非常难以检测到。这种技术只用于缓冲区溢出攻击，对付基于特征码的检测系统非常有效，而对于智能化的或者基于协议分析的检测系统的效果要差很多。为了便于讨论，我们以SSH CRC32缓冲区为例。我们先看以下snort检测规则：

　　alert tcp $EXTERNAL_NET any -＞ $HOME_NET 22 （msg:"EXPLOIT ssh CRC32

　　overflow /bin/sh"； flags:A+； content:"/bin/sh"； reference:bugtraq,2347；

　　reference:cve,CVE-2001-0144； classtype:shellcode-detect； sid:1324； rev:1；）

　　alert tcp $EXTERNAL_NET any -＞ $HOME_NET 22 （msg:"EXPLOIT ssh CRC32

　　overflow NOOP"； flags:A+； content:"　90 90 90 90 90 90 90 90 90 90 90 90 90 90 90）

　　上面的第一条规则简单地检查从外部到$HOME_NET，目标端口是22的数据包，搜索里面是否包含字符串/bin/sh。第二条规则是检查是否 包含x86空操作字符（0x90）。多变shell代码（polymorphic shell code）使用很多方法逃避字符串匹配系统的检测。首先（以x86架构为例）， 使用其它的字符代替0x90执行无操作（no-op）指令。对于X86架构，有55种替代方式，其它的要少一些。这些替代方式以一种伪随机的 方式结合到一块，建立缓冲区溢出shell代码包含无操作（no-op）指令的部分。想了解无操作（no-op）指令的所有替代字符可以参考http:// cansecwest.com/noplist-v1-1.txt。除此之外，shell代码本身也采用XOR机制编码。通过这种方式建立的缓冲区溢出shell代码被重组后不会包含以上的特征码，从而能够逃过字符串匹配检测。