我们知道,IDS作为企业防护系统也不是万能的,黑客可以通过针对HTTP请求和缓冲区溢出绕过IDS防护。除了针对HTTP和缓冲区溢出的欺骗模式,针对木马绕过IDS的方式也十分常见,但是可以绕过IDS防护的方法并不只有上述三种,还有一些不太常用的途径也应该引起注意。
针对木马以绕过IDS
IDS检测木马和后门程序一般是通过端口来判断的,一般是通过后门程序的默认端口的连接来判断的,如Netspy的默认端口是7306,BO2k的默认端口是54320(1),所以只要后门程序不使用默认值就可以逃过一些IDS的法眼。目前大部分后门程序的通信都已采用加密的方式,所以目前的大部分NIDS只能通过非正常端口建立连接来判断,如果后门程序采用正常的端口进行通信,IDS就很有可能漏报!
缓慢扫描:
一般的IDS是通过在一定时间内某个IP扫描过的端口数或IP数是否超过阀值来判断是否扫描,所以如果扫描的间隔超过IDS中指定的时间,而且采用多个IP协同扫描的话,IDS就不能判断攻击者是否扫描。
地址欺骗:
利用代理或者伪造IP包进行攻击,隐藏攻击者的IP,使NIDS不能发现攻击者所在。目前的NIDS只能根据异常包中的地址判断攻击来源。
利用LLKM处理网络通信:
利用LLKM简单、临时改变TCP/IP协议栈的行为,如更改出现在网络传输线路上的TCP标志位,躲避一些IDS的监视。
复杂的TCP/IP包处理:
利用IDS不能正确模拟所有的TCP/IP栈的可能行为,对TCP/IP数据包进行特殊的处理以避过IDS。如将TCP/IP包分成很小的碎片,或者是打乱包的发送顺序,或者是发送重叠的包,或者是包含有不正确校验和、不正确序列号等,正常的TCP/IP软件可以正确重组和处理包,而有相当多的NIDS不能正确处理这些包,所以会忽略基于这种特殊包的攻击。
测试NIDS关于TCP/IP包的处理能力,可以使用fragrouter 或者 Cybercop Scanner。
【编辑推荐】
