在互联网时代,企业不仅要考虑到自己互联网安全,还要考虑到如何能够通过互联网让企业更好地获得信息共享,如果一味的考虑网络安全,互联网的便捷性就无从提起了。那么FTP作为信息传说的标准传输协议,企业在引进IPS是自然会对其进行监控。可是黑客为了实施IPS攻击规避,也盯上了FTP规避这条途径。
为逃避IPS产品对FTP攻击的识别与拦截,攻击者通常在FTP命令中随机添加一定数量的干扰字符(空格符、Telnet非文本控制符等),这些干扰字符在FTP服务器的处理过程中往往会被过滤掉。
假设攻击者向FTP服务器发送如下命令:
CWD
/test1/test2/test3/test4/test5/test6
向其添加干扰字符后我们得到如下图所示的FTP请求:
FTP命令干扰示例
假设参数中包含“test2”的CWD请求会触发FTP服务器的某一漏洞,IPS需要先于FTP服务器正确识别CWD请求命令,并过滤请求参数中是否存在“test2”这个特征,如果IPS不能在正确解析FTP协议的同时,准确的滤除干扰字符,它最终看到的将是“txffxf3est2”进而导致漏报发生,IPS攻击规避因此发生。
【编辑推荐】
