简述如何直接或间接攻击NIDS

安全
网络入侵检测系统作为网络防火墙之后的企业安全产品,正所谓树大招风,NIDS的出现正成为了黑客们攻击的目标,本文主要介绍了Hacker或Cracker门如何直接攻击NIDS与如何间接攻击NIDS。

NIDS,即网络入侵检测系统,主要是用于检测Hacker或Cracker通过网络进行的入侵行为。企业通过部署NIDS试图保证自己的网络安全。但是有了充分的防范不代表黑客们就不会去尝试攻击你,要知道黑客是十分乐于尝试有挑战的事情。本文就简单的介绍一下攻击NIDS的两种途径:直接攻击NIDS和间接攻击NIDS。

1.如何直接攻击NIDS

直接对NIDS进行攻击。因为NIDS是安装在一定的操作系统之上,而且本身也是一个 复杂的TCP/IP操作系统,这意味着NIDS本身可能受到smurf、synflood或jolt2等攻击。如果安装IDS的操作系统本身存在漏洞或IDS自身防御力差,此类攻击很有可能造成IDS的探测器丢包、失效或不能正常工作。但是随着IDS技术的发展,一些NIDS采用了双网卡的技术,一个网卡绑定IP,用来与console(控制台)通信,另外一个网卡无IP,用来收集网络数据包,其中连在网络中的是无IP的网卡,因为没有IP,所以不能直接攻击,而且新的IDS一般采用了协议分析的技术,提高了IDS捕捉和处理数据包的性能,所以直接攻击NIDS这种方法已经行不通了。

2.如何间接攻击NIDS

一般的NIDS都有入侵响应的功能,如记录日志,发送告警信息给console、发送警告邮件,防火墙互动等,我们可以利用IDS的响应进行间接攻击,使入侵日志迅速增加,塞满硬盘;发送大量的警告信息,使管理员无法发现真正的攻击者,并占用大量的cpu资源;发送大量的告警邮件,占满告警信箱或硬盘,并占用接收警告邮件服务器的系统资源;发送虚假的警告信息,使防火墙错误配置,造成一些正常的IP无法访问等!

在目前来看,攻击NIDS最有效的办法是利用Coretez Giovanni写的Stick程序,Stick使用了很巧妙的办法,它可以在2秒内模拟450次攻击,快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机现象。由于Stick发出多个有攻击特征(按照snort的规则组包)的数据包,所以IDS匹配了这些数据包的信息时,就会频繁发出警告,造成管理者无法分辨哪些警告是针对真正的攻击发出的,从而使IDS失去作用。当有攻击表现的信息包数量超过IDS的处理能力的话,IDS会陷入拒绝服务状态。Stick对许多IDS有影响,ISS公司的产品也不例外,该公司的产品中曾有"RealSecure Network Sensor 5.0"的Windows NT/2000版受到了影响,后来ISS发布了补丁,好像已经解决了这个问题。但其它一些公司的IDS,如snort,因为Stick发送的是按snort规则组成的包,所以用Stick攻击装有snort的网络时,会产生大量的日志记录。
 

【编辑推荐】

  1. 如何构建入门级IDS
  2. IDS漏洞分析与黑客入侵手法
  3. 黑客针对木马及几种罕见途径绕过IDS
  4. 黑客针对缓冲区溢出绕过IDS的方式
  5. 黑客针对HTTP请求绕过IDS的八种方式

 

责任编辑:张启峰 来源: 网盾
相关推荐

2010-09-13 11:26:26

2015-06-18 13:39:33

DCIM数据中心

2015-07-07 10:56:54

DCIM数据中心

2010-12-17 10:01:00

2010-09-09 20:26:34

2010-09-13 18:11:38

2010-09-07 11:18:10

2017-03-27 16:08:58

2010-09-08 15:43:18

2021-10-10 12:44:24

勒索软件攻击网络安全

2010-09-13 09:20:21

2015-06-02 09:22:06

2011-08-10 13:47:38

2014-08-01 10:37:08

2012-07-02 10:21:43

2024-03-12 08:57:39

2021-12-16 10:25:14

网络安全网络攻击网络威胁

2010-03-12 11:08:51

2022-02-14 17:13:46

攻击面管理网络安全

2011-08-09 15:27:17

点赞
收藏

51CTO技术栈公众号