科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道入侵检测系统逃避技术和对策介绍(5)

入侵检测系统逃避技术和对策介绍(5)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文我们讨论了一些常用的IDS躲避技术及其对策。其中有些技术需要攻击者具有熟练的攻击技巧,而有写技术却无需太多的技巧。

作者:51CTO.COM 2007年10月24日

关键字: 拒绝服务 碎片攻击 网络安全 入侵检测系统

  • 评论
  • 分享微博
  • 分享邮件

  5.碎片和snort特征码

  下面我们把上述攻击和某些snort特征码进行比较。对于.ida缓冲区溢出攻击,默认的snort特征码几乎无法捕获任何通过碎片发动的攻击(如果使用了frag2预处理模块,snort可以截获碎片超时攻击)。下面是针对.ida缓冲区溢出攻击的snort检测规则:

  alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS ISAPI

  .ida attempt"; uricontent:".ida?"; nocase; dsize:>239; flags:A+;

  reference:arachnids,552; classtype:web-application-attack;

  reference:cve,CAN-2000-0071;sid:1243;rev:2;)

  另外,snort还有一条检测小碎片的规则,一旦发现太小的碎片,就会触发这条规则:

  alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC Tiny

  Fragments";fragbits:M;dsize: < 25; classtype:bad-unknown;sid:522)

  但是,这样还是不能检测某些攻击。还是以ida缓冲区溢出为例,这个攻击实际上和请求的URI无关,因此攻击者可以在前面加入一些垃圾数据以避免触发碎片检测规则。

  碎片1 GET reallylongstringtoevadedetect.i

  碎片2 da?(缓冲区溢出数据)

  这些技术并非只针对snort。Cisco Secure IDS也能够进行碎片重组,并且能够对上述碎片攻击进行报警。

  实际上,碎片攻击要复杂的多,尤其是涉及到TTL和碎片覆盖。如果想更为深入地了解这方面技术,请参考Network Intrusion Detection: Evasion, Traffic Normalization, and End-to-End Protocol Semantics。

  检测碎片攻击也非常困难。使IDS的碎片超时时间至少为60秒,增加对异常碎片的报警,最重要的是系统管理人员要对碎片攻击的潜在威胁有清醒的认识。2002年四月,Dug Song发布了Fragroute,引发了不小的震动。很快,snort社团发布了能够对碎片攻击进行更好检测的snort1.8.6版。

  6.拒绝服务

  还有一种比较野蛮的方法就是拒绝服务。拒绝服务可以针对检测设备本身和管理设备。Stick、snot和其它一些测试工具能够是入侵检测设备产生大量的报警。使用这些工具,可以达成如下目标:

  消耗检测设备的处理能力,是真正的攻击逃过检测。

  塞满硬盘空间,使检测设备无法记录日志。

  使检测设备产生超出其处理能力的报警。

  使系统管理人员无法研究所有的报警。

  挂掉检测设备。

  对IDS来说,这类工具无迹可寻,因此非常难以对付。

  结论

  本文我们讨论了一些常用的IDS躲避技术及其对策。其中有些技术需要攻击者具有熟练的攻击技巧,而有写技术却无需太多的技巧。而fragroute之类的工具出现,大大降低了攻击者采用某些技术的难度,使防御的一方总是处于被动。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章