·	没有路由密码权限时的鸽	08-23	·	上网安全 Vista自我防范	10-11
·	让濒临崩溃的Windows XP	10-11	·	有备无患，快速自制救急	10-11
·	要你好看!Windows看图工	10-11	·	空间赞助网提供不同类型	10-11
·	讨论net.exe和net1.exe的	10-10	·	让3389远程桌面传输更通	10-10
·	巧妙入侵渗透赌博站	10-10	·	Aspx空间扫权限工具	10-10
·	Windows2003最新提权工具	10-10	·	易淘乐提供100M免费全能	10-10
·	系统开机密码忘了不着急	10-09	·	中意网络提供免费100M免	10-09
·	与众不同 Windows XP开始	10-08	·	让桌面图标翻跟斗在XP上	10-08
·	上海宽元站长资助计划-提	10-08	·	个性化Windows XP的任务	10-07
·	趣盘提供3G免费网络硬盘	10-07	·	秀山热线提供200MB免费全	10-07
·	一次艰辛的提权过程	10-06	·	成功入侵IT大卖场的渗透	10-06
·	mysqlhack- MYSQL利用工	10-06	·	lanker一句话PHP后门客户	10-06
·	WIXI提供3G免费多媒体网	10-06	·	新人网络提供100M/ftp免	10-06
·	如何利用QQ带来高流量	10-05	·	UuShare提供免费网络文件	10-05

[推荐]IDS逃避技术和对策的详细介绍

热荐 ★★★★

IDS逃避技术和对策的详细介绍

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2006-4-5 9:24:02

4.3.碎片超时

这种攻击依赖于入侵检测系统在丢弃碎片之前会保存多少时间。大多数系统会在60秒之后将丢弃不完整的碎片流（从收到第一个碎片开始计时）。如果入侵检测系统保存碎片的时间小于60秒，就会漏掉某些攻击。例如：

碎片1（设置了MF位） GET foo.id
碎片2（59秒之后发出） a?（缓冲区溢出数据）

如果IDS保存起始碎片的时间不到60秒，就会漏过攻击。幸运的是，如果配置没有错误，现在的网络入侵检测系统能够检测此类攻击。

这种技术结合其它的网络技术（例如：TTL值）将更有威胁。如果入侵检测系统和被监视的系统不在同一个网段，攻击者就可以在TTL上做手脚。有的单位由于经费的限制，不能在自己的每个子网都部署IDS节点，只在网络的出入口部署一套IDS，监视所有的网络流量。这种情况下，如果被攻击的主机在其它的子网，攻击数据包到目标系统的跳数就大于到IDS的跳数。攻击者可以伪造碎片的TTL，使某些碎片刚好能够到达，而无法到达目标系统，例如：碎片序号负载 TTL（假设攻击者到目标的跳数是5，到IDS的跳数是3）

1 GET foo.id 5
2 evasion.html 3
3 a?（缓冲区溢出数据） 5

从这些碎片中，IDS重组的数据是“GET foo.idevasion.html a?（缓冲区溢出数据）”或者“GET foo.idevasion.html”（如果IDS的超时时间小于60秒）。通过这种方式，攻击者成功地在IDS中插入了垃圾数据。

5.碎片和snort特征码

下面我们把上述攻击和某些snort特征码进行比较。对于.ida缓冲区溢出攻击，默认的snort特征码几乎无法捕获任何通过碎片发动的攻击（如果使用了frag2预处理模块，snort可以截获碎片超时攻击）。下面是针对.ida缓冲区溢出攻击的snort检测规则：

alert tcp $EXTERNAL_NET any -＞ $HTTP_SERVERS 80 （msg:"WEB-IIS ISAPI
.ida attempt"； uricontent:".ida?"； nocase； dsize:＞239； flags:A+；
reference:arachnids,552； classtype:web-application-attack；
reference:cve,CAN-2000-0071；sid:1243；rev:2；）

另外，snort还有一条检测小碎片的规则，一旦发现太小的碎片，就会触发这条规则：

alert ip $EXTERNAL_NET any -＞ $HOME_NET any （msg:"MISC Tiny
Fragments"；fragbits:M；dsize: ＜ 25； classtype:bad-unknown；sid:522）

但是，这样还是不能检测某些攻击。还是以ida缓冲区溢出为例，这个攻击实际上和请求的URI无关，因此攻击者可以在前面加入一些垃圾数据以避免触发碎片检测规则。

碎片1 GET reallylongstringtoevadedetect.i
碎片2 da?（缓冲区溢出数据）

这些技术并非只针对snort。Cisco Secure IDS也能够进行碎片重组，并且能够对上述碎片攻击进行报警。

实际上，碎片攻击要复杂的多，尤其是涉及到TTL和碎片覆盖。如果想更为深入地了解这方面技术，请参考Network Intrusion Detection: Evasion, Traffic Normalization, and End-to-End Protocol Semantics。

检测碎片攻击也非常困难。使IDS的碎片超时时间至少为60秒，增加对异常碎片的报警，最重要的是系统管理人员要对碎片攻击的潜在威胁有清醒的认识。2002年四月，Dug Song发布了Fragroute，引发了不小的震动。很快，snort社团发布了能够对碎片攻击进行更好检测的snort1.8.6版。

6.拒绝服务

还有一种比较野蛮的方法就是拒绝服务。拒绝服务可以针对检测设备本身和管理设备。Stick、snot和其它一些测试工具能够是入侵检测设备产生大量的报警。使用这些工具，可以达成如下目标：

消耗检测设备的处理能力，是真正的攻击逃过检测。
塞满硬盘空间，使检测设备无法记录日志。
使检测设备产生超出其处理能力的报警。
使系统管理人员无法研究所有的报警。
挂掉检测设备。

对IDS来说，这类工具无迹可寻，因此非常难以对付。

结论

本文我们讨论了一些常用的IDS躲避技术及其对策。其中有些技术需要攻击者具有熟练的攻击技巧，而有写技术却无需太多的技巧。而fragroute之类的工具出现，大大降低了攻击者采用某些技术的难度，使防御的一方总是处于被动。

作者：CC　来源：Nsfocus

上一页 [1] [2] [3]

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章： SQL脚本语言学习黑客篇

下一篇文章： SQL注射攻防简明教程

【字体：小大】

中介交易区

入侵网站必备经典语句	01-17
说说session	10-23
新or注入教程	09-10
Mssql2005注入命令总结	07-30
阿D常用注入命令汇总	07-30
Penetration Testing 渗透测试	07-04
Exploit Sites 和0day公布的站点	06-18
3389得到肉鸡后的命令	06-18
Cmd模式下的入侵技术大全	05-30
阿D常用注入命令整理	05-17
opendatasource学习记录	05-14
SQL Injection规避入侵检测技术总	05-06