|
三、抗欺骗能力
IDS要抓住入侵者,入侵者就会想方设法逃避IDS。逃避IDS的方法很多。总结起来可以分成两大类:让IDS漏报和让IDS误报。
1、IDS误报:
IDS误报的初衷是明明没有这个攻击,但是入侵者让IDS拼命告警,让不断增长告警日志塞满硬盘,让翻滚的告警屏幕把管理者的眼睛绕花。这样真正的攻击就可以夹杂在数不清的虚假告警中蒙混过关了。因为这个时候已经没有精力从众多的告警中发现真正的入侵了。
今年三月,Coretez Giovanni发现了让IDS误报的另外一个功能:快速的告警信息的产生会让IDS反应不过来产生失去反应甚至死机现象。Coretez写了个叫做stick的程序。本来是就是作为IDS产品的测试用例的。这个程序读入snort(www.snort.org)的规则,然后按照snort的规则组包,因为snort的规则函盖了大多数的攻击,所以IDS匹配了这些报文就告警。比较有名的IDS如iss和snort首当其冲被披露能造成30秒以上的停顿。然后iss就发布了补丁。这条安全新闻也被不止一家网站译成中文。新浪的相关连接是:http://tech.sina.com.cn/s/n/58376.shtml不过iss的补丁打的好像不怎么样,补丁出来后,在www.securityfocus.com的focus-IDS邮件
列表里有对Coretez iss补丁测试后的印象:
ISS released an update to handle the alarm flooding from stick. I took a quick look at the ISS update. It generated alarms for most of the packets,but
1) ISS Sensor/Console relationship maintained its integrity
2) The alarms caused by stick were clustered into four alarms, mostly UDP Bomb and PNG. Though smurf and stacheldraht also were alarming at a lower rate.I tool targeted to go against ISS would generate more, but I have little interest in reverse engineering the ISS rule set. Glad to see the quick response by ISS.
Tezstick在securityfocus的主页(www.securityfocus.com)上可以下载:
http://www.securityfocus.com/frames/?content=/templates/tools.html%3Fid%3D1974编译起来不麻烦,注意看帮助即可。只是此人写此类发包程序的风格有点与众不同,看程序时记着并不是作者有什么高深的东西,表达方式不同而已。绝大多数的IDS都从snort多有借鉴,都可以用stick试一下。
共4页: 上一页 [1] 2 [3] [4] 下一页
|
