【互联网周刊消息】诚然，入侵侦测系统(IDS)可以具有很好的监视及侦测入侵的能力，也可以对企业或组织的安全提供很好的协助。但是，随着入侵侦测系统的出现，许多针对网络入侵侦测系统的规避手法也随之不断“升级”。

　　对比已知攻击手法与入侵侦测系统监视到的在网上出现的字符串，是大部分网络入侵侦测系统都会采取的一种方式。例如，在早期Apache WWW Server版本上的phf CGI程序，就是过去常被黑客用来读取Server系统上的密码文件(/etc/password)，或让Server为其执行任意指令的工具之一。当黑客利用这种工具时，在其URL request中多数就会出现类似“GET /cgi-bin/phf?.....”的字符串。因此许多入侵侦测系统就会直接对比所有的URL request 中是否出现/cgi-bin/phf 的字符串，以此判断是否出现phf 的攻击行为。

　　这样的检查方式，虽然适用于各种不同的入侵侦测系统，但那些不同的入侵侦测系统，因设计思想不同，采用的对比方式也会有所不同。有的入侵侦测系统仅能进行单纯的字符串对比，有的则能进行详细的TCP Session重建及检查工作。这两种设计方式，一个考虑了效能，一个则考虑了识别能力。攻击者在进行攻击时，为避免被入侵侦测系统发现其行为，可能会采取一些规避手法，以隐藏其意图。例如：攻击者可以将URL中的字符编码成%XX 的十六进值，此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”，单纯的字符串对比就会忽略掉这串编码值内部代表的意义。攻击者也可以通过目录结构的特性，隐藏其真正意图，例如：在目录结构中，“./”代表本目录，“../”代表上层目录，Web Server 可能会将“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”这些URL request均解析成“/cgi-bin/phf”，但单纯的入侵侦测系统可能只会判断这些request是否包含“/cgi-bin/phf”的字符串，而没有发现其背后所代表的意义。

　　此外，将整个request在同一个tcp session中切割成多个仅内含几个字符的小packet，网络入侵侦测若没将整个TCP session重建，则入侵侦测系统将仅能看到类似“GET”、“/cg”、“i”、“-bin”、“/phf”的个别Packet，而不能发现重组回来的结果，因为它仅单纯地检查个别packet是否出现类似攻击的字符串。类似的规避方式还有IP Fragmentation Overlap、TCP Overlap 等各种较复杂的欺瞒手法。

　　网络入侵侦测系统的“猎杀”及重新调整防火墙安全政策设置功能虽然能即时阻断攻击动作，但这种阻断动作仅能适用TCP Session，要完全限制，就必须依赖重新调整防火墙安全政策设置的功能，同时也可能造成另一种反效果：即时阻断的动作会让攻击者发现IDS的存在，攻击者通常会寻找规避方式，或转向对IDS进行攻击。重新设置防火墙的安全政策，若设置不当，也可能造成被攻击者用来做阻断服务(Denial of Service)攻击的工具：经过适当的设计，若网络入侵侦测的检查不足，攻击者可以伪装成其他的正常IP来源进行攻击动作，入侵侦测系统若贸然限制这些来源的IP，将会导致那些合法用户因攻击者的攻击而无法使用。

　　无论是识别方式的设计，还是所谓的“猎杀”及重新设置防火墙安全政策设置功能，都有其利弊。能够实地了解入侵侦测系统的识别方式，或进行其识别手法的调整，将有助于入侵侦测系统运作的正确性。对“猎杀”及重新调整防火墙安全政策设置功能工具的使用，则应仔细评估其效益与相应的损失是否值得，这样才不会陷入厂商的市场攻势之中。

　　ENET: http://news.enet.com.cn/article/20010718/20010710039350_1.xml