网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
IDS逃避技术和对策
文章来源: 绿盟科技 文章作者: 未知 发布时间: 2002-07-06   字体: [ ]
 

  4.2.碎片数据覆盖

  这种方法和上面的碎片覆盖有些类似,只不过是覆盖全部的碎片数据,例如:

   碎片1 GET x.id
   碎片2 一些随机的字符
   碎片3 a.?(缓冲区溢出数据)

  这些碎片在经过目标系统的重组之后,碎片3将完全覆盖碎片2,重组之后的数据变成GET x.ida?(缓冲区溢出数据)。如果入侵检测系 统的重组方式和目标系统不同,就无法重组出“GET x.ida?(缓冲区溢出数据)”,因此就检测不出这个攻击。

  4.3.碎片超时

  这种攻击依赖于入侵检测系统在丢弃碎片之前会保存多少时间。大多数系统会在60秒之后将丢弃不完整的碎片流(从收到第一个碎片开 始计时)。如果入侵检测系统保存碎片的时间小于60秒,就会漏掉某些攻击。例如:

   碎片1(设置了MF位) GET foo.id
   碎片2(59秒之后发出) a?(缓冲区溢出数据)

  如果IDS保存起始碎片的时间不到60秒,就会漏过攻击。幸运的是,如果配置没有错误,现在的网络入侵检测系统能够检测此类攻 击。

  这种技术结合其它的网络技术(例如:TTL值)将更有威胁。如果入侵检测系统和被监视的系统不在同一个网段,攻击者就可以在TTL 上做手脚。有的单位由于经费的限制,不能在自己的每个子网都部署IDS节点,只在网络的出入口部署一套IDS,监视所有的网络流 量。这种情况下,如果被攻击的主机在其它的子网,攻击数据包到目标系统的跳数就大于到IDS的跳数。攻击者可以伪造碎片的TTL, 使某些碎片刚好能够到达,而无法到达目标系统,例如:

   碎片序号 负载 TTL(假设攻击者到目标的跳数是5,到IDS的跳数是3)
   1 GET foo.id 5
   2 evasion.html 3
   3 a?(缓冲区溢出数据) 5

  从这些碎片中,IDS重组的数据是“GET foo.idevasion.html a?(缓冲区溢出数据)”或者“GET foo.idevasion.html”(如果IDS的超时 时间小于60秒)。通过这种方式,攻击者成功地在IDS中插入了垃圾数据。

  5.碎片和snort特征码

  下面我们把上述攻击和某些snort特征码进行比较。对于.ida缓冲区溢出攻击,默认的snort特征码几乎无法捕获任何通过碎片发动的攻 击(如果使用了frag2预处理模块,snort可以截获碎片超时攻击)。下面是针对.ida缓冲区溢出攻击的snort检测规则:

   alert tcp $EXTERNAL_NET any -〉 $HTTP_SERVERS 80 (msg:"WEB-IIS ISAPI
   .ida attempt"; uricontent:".ida?"; nocase; dsize:>239; flags:A+;
   reference:arachnids,552; classtype:web-application-attack;
   reference:cve,CAN-2000-0071; sid:1243; rev:2;)


  另外,snort还有一条检测小碎片的规则,一旦发现太小的碎片,就会触发这条规则:

   alert ip $EXTERNAL_NET any -〉 $HOME_NET any (msg:"MISC Tiny
   Fragments"; fragbits:M; dsize: 〈 25; classtype:bad-unknown; sid:522)


  但是,这样还是不能检测某些攻击。还是以ida缓冲区溢出为例,这个攻击实际上和请求的URI无关,因此攻击者可以在前面加入一些 垃圾数据以避免触发碎片检测规则。
 
推荐文章
·技术知识入门:反NIDS技术应用介
·入侵检测系统逃避技术和对策的介
·安全防护 - 入侵检测实战之全面
·十大入侵检测系统高风险事件及其
·术语详解: IDS
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统面临的三大挑战
·入侵检测应该与操作系统绑定
·入侵检测术语全接触
·IDS:网络安全的第三种力量
·我们需要什么样的入侵检测系统
·IDS的数据收集机制
 
 
共5页: 上一页 [1] [2] [3] 4 [5] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·IPS vs. IDS 势不两立还
·我们需要什么样的入侵检
·入侵检测系统逃避技术和
·技术知识入门:反NIDS技
·理解IDS的主动响应机制
·警钟再鸣 防御在入侵的
·四项下一代入侵检测关键
·术语详解: IDS
相关分类
相关文章
·IDS: 企业的安全误区
·理解IDS的主动响应机制
·IPS vs. IDS 势不两立还
·浅析无线入侵检测系统
·十大入侵检测系统高风险
·警钟再鸣 防御在入侵的
·深度包检测技术的演进历
·分析筛选IPS的八大定律
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $