黑客针对缓冲区溢出绕过IDS的方式

安全
本文主要讲述通过NIDS检测远程缓冲区的漏洞,在黑客进攻时对自己进行伪装,欺骗NIDS检测,达到绕过IDS并进行攻击的目的。

IDS作为企业安全防护的重量级产品,自然也成为了黑客试图攻破的目标。事实证明,绕过IDS防护进行攻击是完全可以实现的,接下来的文章里就将简述黑客攻击时如何通过针对缓冲区溢出绕过IDS。

一些NIDS检测远程缓冲区的主要方式是通过判断数据包的内容是否包括/bin/sh或者是否含有大量的NOP。针对IDS的这种检测办法,有的溢出程序的NOP考虑到用eb 02 代替,但这种方式目前也已经成为一些NIDS检测是否为缓冲区溢出时匹配的标志。

不过,k2先生又写了一个加密shellcode的程序ADMmutate,利用了名为多形态代码的技术,使攻击者能够潜在的改变代码结构来欺骗许多入侵检测系统,但它不会破坏最初的攻击性程序。溢出程序经它一改,就可以摇身一变,而且由于采用了动态改变的技术,每次伪装的shellcode都不相同,本来NIDS依靠提取公开的溢出程序的特征码来检测报警,特征码变了后就可以达到绕过IDS的目的。

伪装前的shellcode格式为: [NNNNNNNNNNNNN][SSSS][RRRR]

伪装后的shellcode格式为: [nnnnnnn][dddd][ssss][rrrr]

其中:N表示NOP,S表示shellcode,R表示返回地址; n表示经过编码的NOP,d为解码器,s表示经过编码的shellcode,r表示返回地址。

经过ADMmutate伪装的shellcode可以逃过使用模式匹配并且利用字符串匹配的大部分NIDS!不过如果NIDS还依靠长度,可打印字符等等综合判断,则ADMmutate还是不能逃脱NIDS的监视,但是依靠长度、可打印字符等判断未必准确,以此判断会造成IDS漏报或误报。不过,对于使用模式匹配的NIDS来说,目前仍只能通过长度等简单的判断!
 

【编辑推荐】

  1. 如何构建入门级IDS
  2. IDS漏洞分析与黑客入侵手法
  3. 测试评估IDS的性能指标
  4. 正确评估IDS性能的标准与步骤
  5. 黑客针对HTTP请求绕过IDS的八种方式

 

责任编辑:张启峰 来源: 网盾
相关推荐

2010-09-08 15:35:35

2010-10-09 14:45:48

2022-05-07 08:27:42

缓冲区溢出堆栈

2010-09-29 15:10:58

2019-02-27 13:58:29

漏洞缓冲区溢出系统安全

2017-01-09 17:03:34

2010-09-08 15:50:15

2014-07-30 11:21:46

2018-01-26 14:52:43

2009-09-24 18:16:40

2010-12-27 10:21:21

2015-03-06 17:09:10

2011-03-23 12:39:44

2011-03-23 11:35:00

2015-09-02 09:01:03

2020-08-10 08:37:32

漏洞安全数据

2018-11-01 08:31:05

2022-08-09 08:31:40

C -gets函数漏洞

2011-11-15 16:00:42

2012-09-27 09:25:50

点赞
收藏

51CTO技术栈公众号