當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

剖析基本IDS的逃避技術(shù)及相關(guān)對策

http://m.yibo1263.com　2009-4-15 7:53:44 　來源:東北IT網(wǎng) 　編輯:葉子

　　碎片1(設(shè)置了MF位)GET foo.id

　　碎片2(59秒之后發(fā)出) a?(緩沖區(qū)溢出數(shù)據(jù))

　　如果IDS保存起始碎片的時(shí)間不到60秒，就會漏過攻擊。幸運(yùn)的是，如果配置沒有錯(cuò)誤，現(xiàn)在的網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測此類攻擊。

　　這種技術(shù)結(jié)合其它的網(wǎng)絡(luò)技術(shù)(例如：TTL值)將更有威脅。如果入侵檢測系統(tǒng)和被監(jiān)視的系統(tǒng)不在同一個(gè)網(wǎng)段，攻擊者就可以在TTL上做手腳。有的單位由于經(jīng)費(fèi)的限制，不能在自己的每個(gè)子網(wǎng)都部署IDS節(jié)點(diǎn)，只在網(wǎng)絡(luò)的出入口部署一套IDS，監(jiān)視所有的網(wǎng)絡(luò)流量。這種情況下，如果被攻擊的主機(jī)在其它的子網(wǎng)，攻擊數(shù)據(jù)包到目標(biāo)系統(tǒng)的跳數(shù)就大于到IDS的跳數(shù)。攻擊者可以偽造碎片的TTL，使某些碎片剛好能夠到達(dá)，而無法到達(dá)目標(biāo)系統(tǒng)，例如：

　　碎片序號負(fù)載TTL(假設(shè)攻擊者到目標(biāo)的跳數(shù)是5，到IDS的跳數(shù)是3)

　　1 GET foo.id 5

　　2 evasion.html 3

　　3 a?(緩沖區(qū)溢出數(shù)據(jù)) 5

　　從這些碎片中，IDS重組的數(shù)據(jù)是“GET foo.idevasion.html a?(緩沖區(qū)溢出數(shù)據(jù))”或者“GET foo.idevasion.html”(如果IDS的超時(shí)時(shí)間小于60秒)。通過這種方式，攻擊者成功地在IDS中插入了垃圾數(shù)據(jù)。

　　5.碎片和snort特征碼

　　下面我們把上述攻擊和某些snort特征碼進(jìn)行比較。對于.ida緩沖區(qū)溢出攻擊，默認(rèn)的snort特征碼幾乎無法捕獲任何通過碎片發(fā)動的攻擊(如果使用了frag2預(yù)處理模塊，snort可以截獲碎片超時(shí)攻擊)。下面是針對.ida緩沖區(qū)溢出攻擊的snort檢測規(guī)則：

　　alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS ISAPI

　　.ida attempt"; uricontent:".ida?"; nocase; dsize:>239; flags:A+;

　　reference:arachnids,552; classtype:web-application-attack;

　　reference:cve,CAN-2000-0071; sid:1243; rev:2;)

　　另外，snort還有一條檢測小碎片的規(guī)則，一旦發(fā)現(xiàn)太小的碎片，就會觸發(fā)這條規(guī)則：

　　alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC Tiny

　　Fragments"; fragbits:M; dsize: < 25; classtype:bad-unknown; sid:522)

　　但是，這樣還是不能檢測某些攻擊。還是以ida緩沖區(qū)溢出為例，這個(gè)攻擊實(shí)際上和請求的URI無關(guān)，因此攻擊者可以在前面加入一些垃圾數(shù)據(jù)以避免觸發(fā)碎片檢測規(guī)則。

　　碎片1 GET reallylongstringtoevadedetect.i

　　碎片2 da?(緩沖區(qū)溢出數(shù)據(jù))

　　這些技術(shù)并非只針對snort。Cisco Secure IDS也能夠進(jìn)行碎片重組，并且能夠?qū)ι鲜鏊槠暨M(jìn)行報(bào)警。

　　實(shí)際上，碎片攻擊要復(fù)雜的多，尤其是涉及到TTL和碎片覆蓋。

　　檢測碎片攻擊也非常困難。使IDS的碎片超時(shí)時(shí)間至少為60秒，增加對異常碎片的報(bào)警，最重要的是系統(tǒng)管理人員要對碎片攻擊的潛在威脅有清醒的認(rèn)識。2002年四月，Dug Song發(fā)布了Fragroute，引發(fā)了不小的震動。很快，snort社團(tuán)發(fā)布了能夠?qū)λ槠暨M(jìn)行更好檢測的snort1.8.6版。

　　6.拒絕服務(wù)

　　還有一種比較野蠻的方法就是拒絕服務(wù)。拒絕服務(wù)可以針對檢測設(shè)備本身和管理設(shè)備。Stick、snot和其它一些測試工具能夠是入侵檢測設(shè)備產(chǎn)生大量的報(bào)警。使用這些工具，可以達(dá)成如下目標(biāo)：

　　消耗檢測設(shè)備的處理能力，是真正的攻擊逃過檢測。

　　塞滿硬盤空間，使檢測設(shè)備無法記錄日志。

　　使檢測設(shè)備產(chǎn)生超出其處理能力的報(bào)警。

　　使系統(tǒng)管理人員無法研究所有的報(bào)警。

　　掛掉檢測設(shè)備。

　　對IDS來說，這類工具無跡可尋，因此非常難以對付。

　　結(jié)論

　　本文我們討論了一些常用的IDS躲避技術(shù)及其對策。其中有些技術(shù)需要攻擊者具有熟練的攻擊技巧，而有寫技術(shù)卻無需太多的技巧。而fragroute之類的工具出現(xiàn)，大大降低了攻擊者采用某些技術(shù)的難度，使防御的一方總是處于被動。

本新聞共4頁,當(dāng)前在第4頁 1 2 3 4

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费