|
|
|
联系客服020-83701501

IDS规避与对策

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
IDS遁藏与对策

案例1:入侵检测零碎分片重组超时低于受害者分片重组的超时
=========================================================

打击气象:
~~~~~~~~~~~~
假定重组的IDS的分片超时是15秒,零碎监测1些Linux主机有1个默认的分片重组30秒超时。以下所示,第1次发送分片以后,打击者将发送1个15秒钟迟误的第2块分片(30秒内)。

===========================================================
案例2:入侵检测零碎分片重组超时高于操作零碎分片重组的超时
===========================================================

打击气象:
~~~~~~~~~~~~
默认情况下,Snort大要有60秒的分片重组超时。较劲之下,Linux/FreeBSD是30秒。这异样大要遁藏。以下所示,假定打击者把打击的数据包星散为四个分片:1、2、3、4。

打击者发送1个充分的有效载荷frag2和frag4(简称2′和4′),由受害者和入侵检测零碎接管。打击者1直期待,直到受害者分片重组超时完毕,并摒除(在这类情况下市30秒)初始分片。

此次打击的益处在于,受害者依旧没有收到分片1,因此ICMP过失音讯将会被抛给受害者。尔后,打击者发送的数据包(1,3)具有着犯警的有效载 荷。在此阶段中,受害者仅仅收到1,3分片,而入侵检测零碎的收到的分片为1,2′,3,4′。记住,2,4分片是打击者发送充分的有效载荷。
基于TTL打击
~~~~~~~~~~~~~~~
这个打击需要打击者对受害者网络的拓扑布局有所了解。这个音讯大要哄骗诸如路由跟踪之类的工具终了探测。基于TTL的打击以下所示:

打击者合成成3个分片终了打击。打击者发送1个大型的TTL值1片断,这个被IDS和受害者单方的考据认可。然则,第2个分片(frag2′)由打击者发送为TTL值1,异样包括充分的有效载荷。这个分片被IDS认可,而路由器收到摒除的TTL值此刻将削减为零。

尔后,打击者发送1个有效的TTL3分片。这使得IDS大约实行,而受害者的TCP分片(1,2′,3)重组,仍在期待第3分片。打击者发送的末了 1个有效载荷第3分片和受害者实行的分片(1,2,3)终了重组,并施行打击。在这个阶段,IDS只要3个分片,由于它早已履行了重组,并且数据流已被刷 新。hongkexy.com
分片重叠打击
~~~~~~~~~~~~~~~
这个打击方式是基于对IP头的分片偏移量终了管制。分片偏移量申报目的零碎该分片位于大包的甚么地位。在这类情况下,打击者为每一个IP包创建了两个或更多的分片。

第1个分片和末了分片的策略,以下图讲明。

打击者终了了4个分片的打击。打击者发送分片1,2和3,使这两个操作零碎接管。此刻,打击者发送分片2′,3′和4。在这里,有效载荷的分片2′和3′与分片2和3不类似,但分片偏移量和IP头长度相持顽固。

在这类情况下,1个操作零碎做了1个分片重组策略,首先建树在第1个策略的根蒂上,巴望大约重组末了的分片,将分片1,2′,3′,4和分片1,2,3,4重组1起。记住,在差别的操作零碎中,所驳回的分片重组策略也会有所差别。
IDS和IPS的遁藏对策
~~~~~~~~~~~~~~~~~~~~~~
基于网络的IDS和IPS在网络中监听打击,但是基于主机的IDS和IPS步伐则是运转在梗概承受打击的终端零碎上。比如,你梗概在1个飞快的Web管事器、DNS服 务器或邮件管事器上运转1个基于主机的IDS或IPS代办署理。这些基于主机的技艺运转在终端主机上,以下图所示,这类技艺很少思索遁藏策略。大少数IDS和 IPS遁藏技艺主要棍骗基于网络的步伐,这是由于基于网络的步伐不克不及了解在终端零碎上呈现的1系列包的全部前后关系。在1些 FragRouter,FragRoute和Nikto这些步伐就驳回了这个技艺原理。运转在终端零碎上的基于主机的IDS和IPS朴实了这1点。它们知 道通信中愈加残破的高低文音讯,并且大要对终端零碎上将发生甚么做出牢靠的果断。基于主机的IDS和IPS大要查看日记、零碎配置和零碎的举止,从而确定 打击者真正做了甚么,而不是试图经过查看包来讲明目前正在发生的变乱。

比如,在终了完成的分片打击经过哄骗常见的重叠分片来试图棍骗目的中基于网络的IDS和IPS零碎。在包被目的的TCP/IP栈重组以后,基于主机 的IDS和IPS步伐阐发打击者在目的零碎上的奇迹。类似地,许多应用层遁藏技艺,对于基于主机的步伐大要监督终端零碎中打击者所终了的更改。基于主机的 抗御步伐,席卷贸易IDS和IPS产品,如思科安全代办署理(CSA)和McAfee的Entercept,终了检测的颗粒度大要比基于网络的IDS和IPS 产品的检测颗粒度更细。

我再次揭示,基于主机的IDS或IPS仅能抗御其所安装的主机,但是基于网络的IDS或IPS大要对全部局域网终了监控。举1个例子:基于主机的程 序像是在特定的屋子中根究夜贼的警察,基于网络的打击则像是为了根究也贼在左近回旋的警用直升机。虽然,夜贼大要经过假装来棍骗直升机,然则屋子中的警察 大要留心到1些偷窃家里财物的人,甚至是假装的骗子。只管如此,在每栋屋子中安装1名警察的代价是极为尊贵的。正如在这个例子中所说的,与基于主机的 IDS和IPS较劲,基于网络的IDS和IPS的装置代价更低。末了,1个好的IDS和IPS装置个别大要同时完成基于网络和基于主机的步伐。
尾声
~~~~~~~~
在实行扫描时,打击者哄骗种种技艺来避开IDS和IPS的检测。可在网络层和应用层施行遁藏技艺。为了凑合IDS和IPS遁藏技艺,需要实时更新IDS和IPS零碎,并同时完成基于网络的和基于主机的IDS和IPS。

author Hack01#Live!cn

本文由网络安全攻防研讨室(www.九1ri.org)音讯安全小组搜集整顿,转载请说明来由!

数安新闻+更多

证书相关+更多