黑客針對緩沖區溢出繞過IDS的方式
IDS作為企業安全防護的重量級產品,自然也成為了黑客試圖攻破的目標。事實證明,繞過IDS防護進行攻擊是完全可以實現的,接下來的文章里就將簡述黑客攻擊時如何通過針對緩沖區溢出繞過IDS。
一些NIDS檢測遠程緩沖區的主要方式是通過判斷數據包的內容是否包括/bin/sh或者是否含有大量的NOP。針對IDS的這種檢測辦法,有的溢出程序的NOP考慮到用eb 02 代替,但這種方式目前也已經成為一些NIDS檢測是否為緩沖區溢出時匹配的標志。
不過,k2先生又寫了一個加密shellcode的程序ADMmutate,利用了名為多形態代碼的技術,使攻擊者能夠潛在的改變代碼結構來欺騙許多入侵檢測系統,但它不會破壞最初的攻擊性程序。溢出程序經它一改,就可以搖身一變,而且由于采用了動態改變的技術,每次偽裝的shellcode都不相同,本來NIDS依靠提取公開的溢出程序的特征碼來檢測報警,特征碼變了后就可以達到繞過IDS的目的。
偽裝前的shellcode格式為: [NNNNNNNNNNNNN][SSSS][RRRR]
偽裝后的shellcode格式為: [nnnnnnn][dddd][ssss][rrrr]
其中:N表示NOP,S表示shellcode,R表示返回地址; n表示經過編碼的NOP,d為解碼器,s表示經過編碼的shellcode,r表示返回地址。
經過ADMmutate偽裝的shellcode可以逃過使用模式匹配并且利用字符串匹配的大部分NIDS!不過如果NIDS還依靠長度,可打印字符等等綜合判斷,則ADMmutate還是不能逃脫NIDS的監視,但是依靠長度、可打印字符等判斷未必準確,以此判斷會造成IDS漏報或誤報。不過,對于使用模式匹配的NIDS來說,目前仍只能通過長度等簡單的判斷!
【編輯推薦】
