网络漏洞扫描系统的必要性(2)

　　5、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的，就无法解决TCP/IP操作的漏洞。比如利用DOS或DDOS攻击。

　　6、防火墙对服务器合法开放的端口的攻击大多无法阻止。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是"合理"和"合法"的，因此就被简单地放行了。

　　7、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒软件，也没有一种软件可以查杀所有的病毒。

　　8、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。

　　9、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙对此是无能为力的。

　　10、防火墙不能防止本身安全漏洞的威胁。防火墙保护别人有时却无法保护自己，因为目前还没有厂商绝对保证防火墙不会存在安全漏洞。防火墙也是一个OS，也有着其硬件系统和软件，因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。

　　二、针对IDS的逃避技术

　　防火墙有以上的诸多局限性，同时它又处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案。然而，由于NIDS本身的局限性，黑帽社团正不断推出躲避或者越过网络入侵检测系统(Network Intrusion Detection System,NIDS)的新技术，胜利的天平正在向黑帽子倾斜。

　　1、字符串匹配的弱点

　　通过把字符串处理技术和字符替换技术结合到一起，我们可以实现复杂点的字符串伪装。对于WEB请求，我们不必使用命令解释器， 在我们的请求中使用16进制的URL即可，以下的请求可以被目标WEB服务器解释为/etc/passwd：