| 本文針對入侵檢測系統(tǒng)的漏洞來了解一下黑客的入侵手法。一旦安裝了網(wǎng)絡(luò)入侵檢測系統(tǒng),網(wǎng)絡(luò)入侵檢測系統(tǒng)就會為你分析出網(wǎng)上出現(xiàn)的黑客攻擊事件,而且你能用此入侵檢測系統(tǒng)的反擊功能,即時將這種聯(lián)機(jī)獵殺或阻斷。你也可以配合防火墻的設(shè)置,由入侵檢測系統(tǒng)自動為你動態(tài)修改防火墻的存取規(guī)則,拒絕來自這個IP 的后續(xù)聯(lián)機(jī)動作!”這種美好的“前景”,可能是許多入侵檢測系統(tǒng)提供商的慣用銷售手法,一般的企業(yè)或組織在建立自己的入侵檢測系統(tǒng)時也會有這種預(yù)期目的。誠然,入侵檢測系統(tǒng)可以具有很好的監(jiān)視及檢測入侵的能力,也可以對企業(yè)或組織的安全提供很好的協(xié)助。但是,正如小偷的手法會隨著鎖的設(shè)計而不斷“更新”一樣,隨著入侵檢測系統(tǒng)的出現(xiàn),許多針對網(wǎng)絡(luò)入侵檢測系統(tǒng)的規(guī)避手法也隨之不斷“升級”。如今,黑客對于入侵檢測系統(tǒng)已經(jīng)有了一套較完整的入侵手法。下面我們將針對入侵檢測系統(tǒng)的漏洞來了解一下黑客的入侵手法。 一、識別方式的設(shè)計漏洞 1.對比已知攻擊手法與入侵檢測系統(tǒng)監(jiān)視到的在網(wǎng)上出現(xiàn)的字符串,是大部分網(wǎng)絡(luò)入侵檢測系統(tǒng)都會采取的一種方式。例如,在早期Apache Web服務(wù)器版本上的phf CGI程序,就是過去常被黑客用來讀取服務(wù)器系統(tǒng)上的密碼文件(/etc/password),或讓服務(wù)器為其執(zhí)行任意指令的工具之一。當(dāng)黑客利用這種工具時,在其URL request請求中多數(shù)就會出現(xiàn)類似“GET /cgi-bin/phf?.....”的字符串。因此許多入侵檢測系統(tǒng)就會直接對比所有的URL request 中是否出現(xiàn)/cgi-bin/phf 的字符串,以此判斷是否出現(xiàn)phf 的攻擊行為。 2.這樣的檢查方式,雖然適用于各種不同的入侵檢測系統(tǒng),但那些不同的入侵檢測系統(tǒng),因設(shè)計思想不同,采用的對比方式也會有所不同。有的入侵檢測系統(tǒng)僅能進(jìn)行單純的字符串對比,有的則能進(jìn)行詳細(xì)的TCP Session重建及檢查工作。這兩種設(shè)計方式,一個考慮了效能,一個則考慮了識別能力。攻擊者在進(jìn)行攻擊時,為避免被入侵檢測系統(tǒng)發(fā)現(xiàn)其行為,可能會采取一些規(guī)避手法,以隱藏其意圖。例如:攻擊者會將URL中的字符編碼成%XX 的警惕6進(jìn)值,此時“cgi-bin”就會變成“cgi-bin”,單純的字符串對比就會忽略掉這串編碼值內(nèi)部代表的意義。攻擊者也可以通過目錄結(jié)構(gòu)的特性,隱藏其真正的意圖,例如:在目錄結(jié)構(gòu)中,“./”代表本目錄,“../”代表上層目錄,Web服務(wù)器 可能會將“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”這些URL request均解析成“/cgi-bin/phf”,但單純的入侵檢測系統(tǒng)可能只會判斷這些request是否包含“/cgi-bin/phf”的字符串,而沒有發(fā)現(xiàn)其背后所代表的意義。 3.將整個request在同一個TCP Session中切割成多個僅內(nèi)含幾個字符的小Packet,網(wǎng)絡(luò)入侵檢測若沒將整個TCP session重建,則入侵檢測系統(tǒng)將僅能看到類似“GET”、“/cg”、“i”、“-bin”、“/phf”的個別Packet,而不能發(fā)現(xiàn)重組回來的結(jié)果,因為它僅單純地檢查個別Packet是否出現(xiàn)類似攻擊的字符串。類似的規(guī)避方式還有IP Fragmentation Overlap、TCP Overlap 等各種較復(fù)雜的欺瞞手法。 二、“獵殺”及重調(diào)安全政策的漏洞 所謂“獵殺”,就是在服務(wù)器中設(shè)定一個陷阱,如有意打開一個端口,用檢測系統(tǒng)對其進(jìn)行24小時的嚴(yán)密盯防,當(dāng)黑客嘗試通過該端口入侵時,檢測系統(tǒng)就會及時地將其封鎖。網(wǎng)絡(luò)入侵檢測系統(tǒng)的“獵殺”及重新調(diào)整防火墻安全政策設(shè)置功能,雖然能即時阻斷攻擊動作,但這種阻斷動作僅能適用TCP Session,要完全限制,就必須依賴重新調(diào)整防火墻安全政策設(shè)置的功能,同時也可能造成另一種反效果:即時阻斷的動作會讓攻擊者發(fā)現(xiàn)IDS的存在,攻擊者通常會尋找規(guī)避方式,或轉(zhuǎn)向?qū)DS進(jìn)行攻擊。重新設(shè)置防火墻的安全政策,若設(shè)置不當(dāng),也可能造成被攻擊者用來做阻斷服務(wù)(Denial of Service)攻擊的工具:經(jīng)過適當(dāng)?shù)脑O(shè)計,若網(wǎng)絡(luò)入侵檢測的檢查不足,攻擊者可以偽裝成其他的正常IP來源進(jìn)行攻擊動作,入侵檢測系統(tǒng)若貿(mào)然限制這些來源的IP,將會導(dǎo)致那些合法用戶因攻擊者的攻擊而無法使用。論是識別方式的設(shè)計,還是所謂的“獵殺”及重新設(shè)置防火墻安全政策的設(shè)置功能,都有其利弊。能夠?qū)嵉亓私馊肭謾z測系統(tǒng)的識別方式,或進(jìn)行其識別手法的調(diào)整,將有助于提高入侵檢測系統(tǒng)運(yùn)作的正確性。對“獵殺”及重新調(diào)整防火墻安全政策設(shè)置功能工具的使用,則應(yīng)仔細(xì)評估其效益與相應(yīng)的損失,這樣才能有效地發(fā)揮網(wǎng)絡(luò)入侵檢測系統(tǒng)的功能。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
