欢迎来到天天文库
浏览记录
ID:9509582
大小:56.00 KB
页数:7页
时间:2018-05-01
《攻击入侵检测nids分析》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、攻击入侵检测NIDS分析~教育资源库 在网络安全发展的今天,IDS即入侵检测系统在网络环境中的使用越来越普遍,当hacker在攻击一个装有IDS的网络服务器时,首先考虑到的是如何对付IDS,攻击主要采用,一我们如何攻击IDS,二,是我们如何绕过IDS的监视。本文将详细介绍当前的主要NIDS分析。 一.介绍攻击系统NIDS 攻击系统的NIDS主要有两种方式:直接攻击和间接攻击,我们来看: 1.如何直接攻击NIDS 直接对NIDS进行攻击。因为NIDS是安装在一定的操作系统之上,而且本身也是一个复杂的TCP/IP操作系
2、统,这意味着NIDS本身可能受到smurf、synflood或jolt2等攻击。如果安装IDS的操作系统本身存在漏洞或IDS自身防御力差,此类攻击很有可能造成IDS的探测器丢包、失效或不能正常工作。但是随着IDS技术的发展,一些NIDS采用了双网卡的技术,一个网卡绑定IP,用来与console(控制台)通信,另外一个网卡无IP,用来收集网络数据包,其中连在网络中的是无IP的网卡,因为没有IP,所以不能直接攻击,而且新的IDS一般采用了协议分析的技术,提高了IDS捕捉和处理数据包的性能,所以直接攻击NIDS这种方法已经行不通了
3、。 2.如何间接攻击NIDS 一般的NIDS都有入侵响应的功能,如记录日志,发送告警信息给console、发送警告邮件,防火墙互动等,我们可以利用IDS的响应进行间接攻击,使入侵日志迅速增加,塞满硬盘;发送大量的警告信息,使管理员无法发现真正的攻击者,并占用大量的cpu资源;发送大量的告警邮件,占满告警信箱或硬盘,并占用接收警告邮件服务器的系统资源;发送虚假的警告信息,使防火墙错误配置,造成一些正常的IP无法访问等! 在目前来看,攻击NIDS最有效的办法是利用CoretezGiovanni写的Stick程序,Stick
4、使用了很巧妙的办法,它可以在2秒内模拟450次攻击,快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机现象。由于Stick发出多个有攻击特征(按照snort的规则组包)的数据包,所以IDS匹配了这些数据包的信息时,就会频繁发出警告,造成管理者无法分辨哪些警告是针对真正的攻击发出的,从而使IDS失去作用。当有攻击表现的信息包数量超过IDS的处理能力的话,IDS会陷入拒绝服务状态。Stick对许多IDS有影响,ISS公司的产品也不例外,该公司的产品中曾有RealSecureNetp....的意思就是c:mp;相应的u
5、nix下的/tmp/././././和/tmp/等价。对/cgi-bin/phf可以任意变化成/./cgi-bin/././p123下一页友情提醒:,特别!hf等形式。例如: GET/cgi-bin/blahblah/../test.cgiHTTP/1.0实际和/cgi-bin/test.cgi一样 目前一般IDS都能识别。很多智能的IDS会把请求还原成正常的形式。 ㈣不规则方式问题:#用tab替换空格(对IIS不适用):智能的IDS一般在客户端的数据中取出URL请求,截去 变量,然后按照HTTP的语法格式检查请求。
6、在HTTPRFC中,httpv1.0的请求格式如下:MethodURIHTTP/VersionCRLFCRLFHTTP是按照空格来把请求分成三部分的。但是,Apache1.3.6和其以后的版本(早些时候的版本可能也是)允许用tab去请求:MethodURIHTTP/VersionCRLFCRLF这会使那些根据RFC协议格式处理这个请求的程序失败。但有的IDS为了减少误报会在匹配时用上空格。如/phf会很容易在字符串中匹配,但/phf(空格)会减少很多误报,这时对用tab的请求就没法匹配了。#NULL方式:构造如下的请求:GE
7、T%00/cgi-bin/test.cgiHTTP/1.0,由于在C语言中很多字符串处理函数用NULL作为字符串的结尾,如果IDS是利用c函数处理字符串的话,IDS就不可匹配NULL后面的字符串了。这种方式适合IIS,Apache不能处理%00。 ㈤命令问题:许多IDS系统检测时缺省认为客户提交的请求是用GET提交的,如GET/cgi-bin/test.cgi。但是相同的请求用HEAD命令也能实现,如用HEAD发送:HEAD/cgi-bin/test.cgi,则有些依靠get方法匹配的IDS系统就不会检测到这个扫描。 ㈥
8、会话组合问题:把请求分开放在不同的包文中发出――注意不是分片,则IDS可能就不会匹配出攻击了。例如,请求GET/HTTP/1.0可以放在不同的包文中(GE,T,/,H,T,TP,/1,.0),但不能逃过一些采用协议分析和会话重组技术的IDS。 ㈦长URL(LongURLs)问题:一些原始
此文档下载收益归作者所有