网络漏洞扫描系统的必要性(3)

　　GET %65%74%63/%70%61%73%73%77%64

　　或者

　　GET %65%74%63/%70a%73%73%77d

　　为了捕获这一个字符串的所有变体，IDS可能需要1000个以上的特征码进行字符串匹配，这还没有考虑UNICODE啊!

　　2、会话拼接(session splicing，叫会话分割更合适一些)

　　就是把会话数据放到多个数据包中发出：

　　+-------------------------+

　　| packet number | content |

　　|---------------+---------|

　　| 1 | G |

　　|---------------+---------|

　　| 2 | E |

　　|---------------+---------|

　　| 3 | T |

　　|---------------+---------|

　　| 4 | 20 |

　　|---------------+---------|

　　| 5 | / |

　　|---------------+---------|

　　| 6 | H |

　　+---------------+---------+

　　通过这种方式，每次只投递几个字节的数据，就可能避开字符串匹配入侵检测系统的监视。

　　3、碎片攻击

　　所谓碎片覆盖就是发送碎片覆盖先前碎片中的数据。例如：

　　碎片1 GET x.idd

　　碎片2 a.?(缓冲区溢出数据)

　　第二个碎片的第一个字符覆盖第一个碎片最后一个字符，这两个碎片被重组之后就变成了GET x.ida?(缓冲区溢出数据)。

　　4、拒绝服务

　　还有一种比较野蛮的方法就是拒绝服务，消耗检测设备的处理能力，使真正的攻击逃过检测。塞满硬盘空间，使检测设备无法记录日志。使检测设备产生超出其处理能力的报警。使系统管理人员无法研究所有的报警。挂掉检测设备。对IDS来说，这类IDS无迹可寻，因此非常难以对付。

　　三、网络隐患扫描系统浮出水面

　　对付破坏系统企图的理想方法当然是建立一个完全安全的没有漏洞的系统，但从实际而言，这根本不可能。美国威斯康星大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告，指出软件中不可能没有漏洞和缺陷。

　　因此，一个实用的方法是，建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统，漏洞扫描器就是这样一类系统。就目前系统的安全状况而言，系统中存在着一定的漏洞，因此也就存在着潜在的安全威胁，但是，如果我们能够根据具体的应用环境，尽可能早地通过网络扫描来发现这些漏洞，并及时采取适当的处理措施进行修补，就可以有效地阻止入侵事件的发生。虽然亡羊补牢十分可贵，但是对于"不怕一万，只怕万一"的关键业务来说，未雨绸缪才是理想境界。