网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
技术知识入门:反NIDS技术应用介绍
文章来源: 安全焦点 文章作者: oasis 发布时间: 2006-05-22   字体: [ ]
 

  针对HTTP请求进行欺骗的工具主要是Whisker,它采用了上面的一些技术进行WWW扫描,目前的IDS能发现绝大部分的欺骗方式,但对于采用URL编码(尤其是unicode编码)和不规则方式(如TAB替换空格)的扫描,有相当一部分IDS可能检测不到!

  2.针对缓冲区溢出:一些NIDS检测远程缓冲区的主要方式是通过判断数据包的内容是否包括/bin/sh或者是否含有大量的NOP。针对IDS的这种检测办法,有的溢出程序的NOP考虑到用eb 02 代替,但这种方式目前也已经成为一些NIDS检测是否为缓冲区溢出时匹配的标志。不过,k2先生又写了一个加密shellcode的程序 ADMmutate,利用了名为多形态代码的技术,使攻击者能够潜在的改变代码结构来欺骗许多入侵检测系统,但它不会破坏最初的攻击性程序。溢出程序经它一改,就可以摇身一变,而且由于采用了动态改变的技术,每次伪装的shellcode都不相同,本来NIDS依靠提取公开的溢出程序的特征码来检测报警,特征码变了后NIDS就检测不到了。

  伪装前的shellcode格式为:

[NNNNNNNNNNNNN][SSSS][RRRR]

  伪装后的shellcode格式为:

[nnnnnnn][dddd][ssss][rrrr]

  其中:

  N表示NOP,S表示shellcode,R表示返回地址;

  n表示经过编码的NOP,d为解码器,s表示经过编码的shellcode,r表示返回地址。

  经过ADMmutate伪装的shellcode可以逃过使用模式匹配并且利用字符串匹配的大部分NIDS!不过如果NIDS还依靠长度,可打印字符等等综合判断,则ADMmutate还是不能逃脱NIDS的监视,但是依靠长度、可打印字符等判断未必准确,以此判断会造成IDS漏报或误报。不过,对于使用模式匹配的NIDS来说,目前仍只能通过长度等简单的判断!

  3.针对木马:IDS检测木马和后门程序一般是通过端口来判断的,一般是通过后门程序的默认端口的连接来判断的,如Netspy的默认端口是7306, BO2k的默认端口是54320(1),所以只要后门程序不使用默认值就可以逃过一些IDS的法眼。目前大部分后门程序的通信都已采用加密的方式,所以目前的大部分NIDS只能通过非正常端口建立连接来判断,如果后门程序采用正常的端口进行通信,IDS就很有可能漏报!

  4.其它方法:

  缓慢扫描:一般的IDS是通过在一定时间内某个IP扫描过的端口数或IP数是否超过阀值来判断是否扫描,所以如果扫描的间隔超过IDS中指定的时间,而且采用多个IP协同扫描的话,IDS就不能判断攻击者是否扫描。

  地址欺骗:利用代理或者伪造IP包进行攻击,隐藏攻击者的IP,使NIDS不能发现攻击者所在。目前的NIDS只能根据异常包中的地址判断攻击来源。

  利用LLKM处理网络通信:利用LLKM简单、临时改变TCP/IP协议栈的行为,如更改出现在网络传输线路上的TCP标志位,躲避一些IDS的监视。

  复杂的TCP/IP包处理:利用IDS不能正确模拟所有的TCP/IP栈的可能行为,对TCP/IP数据包进行特殊的处理以避过IDS。如将 TCP/IP 包分成很小的碎片,或者是打乱包的发送顺序,或者是发送重叠的包,或者是包含有不正确校验和、不正确序列号等,正常的TCP/IP软件可以正确重组和处理包,而有相当多的NIDS不能正确处理这些包,所以会忽略基于这种特殊包的攻击。测试NIDS关于TCP/IP包的处理能力,可以使用 fragrouter 或者 Cybercop Scanner。

  结论

  由于目前的NIDS绝大部分是采用sniffer形式抓包,以模式匹配的方式检测和分析入侵,不能处理和分析加密或伪装后的数据包,特别是在网络负载流量高的情况下,许多NIDS会出现丢包现象,所以NIDS仍然存在误报、漏报的可能。黑客如果将上面的一些方法巧妙的结合起来,仍可以逃避目前一些 NIDS的监视。

--
原文链接: http://security.ccidnet.com/art/231/20060519/557909_1.html

 
推荐文章
·入侵检测系统逃避技术和对策的介
·安全防护 - 入侵检测实战之全面
·十大入侵检测系统高风险事件及其
·术语详解: IDS
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统面临的三大挑战
·入侵检测应该与操作系统绑定
·入侵检测术语全接触
·IDS:网络安全的第三种力量
·我们需要什么样的入侵检测系统
·IDS的数据收集机制
·IDS的体系结构
 
 
共3页: 上一页 [1] [2] 3 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·IPS vs. IDS 势不两立还
·我们需要什么样的入侵检
·入侵检测系统逃避技术和
·IDS逃避技术和对策
·理解IDS的主动响应机制
·警钟再鸣 防御在入侵的
·四项下一代入侵检测关键
·术语详解: IDS
相关分类
相关文章
·用MRTG在IIS 6.0上实现
·IDS没死:国内IDS产品发
·入侵检测系统逃避技术和
·网络向导之IDS/IPS的购
·有效使用IDS/IPS的最佳
·新型蜜罐提高入侵检测准
·四项下一代入侵检测关键
·分析筛选IPS的八大定律
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $