黑客針對木馬及幾種罕見途徑繞過IDS
我們知道,IDS作為企業防護系統也不是萬能的,黑客可以通過針對HTTP請求和緩沖區溢出繞過IDS防護。除了針對HTTP和緩沖區溢出的欺騙模式,針對木馬繞過IDS的方式也十分常見,但是可以繞過IDS防護的方法并不只有上述三種,還有一些不太常用的途徑也應該引起注意。
針對木馬以繞過IDS
IDS檢測木馬和后門程序一般是通過端口來判斷的,一般是通過后門程序的默認端口的連接來判斷的,如Netspy的默認端口是7306,BO2k的默認端口是54320(1),所以只要后門程序不使用默認值就可以逃過一些IDS的法眼。目前大部分后門程序的通信都已采用加密的方式,所以目前的大部分NIDS只能通過非正常端口建立連接來判斷,如果后門程序采用正常的端口進行通信,IDS就很有可能漏報!
緩慢掃描:
一般的IDS是通過在一定時間內某個IP掃描過的端口數或IP數是否超過閥值來判斷是否掃描,所以如果掃描的間隔超過IDS中指定的時間,而且采用多個IP協同掃描的話,IDS就不能判斷攻擊者是否掃描。
地址欺騙:
利用代理或者偽造IP包進行攻擊,隱藏攻擊者的IP,使NIDS不能發現攻擊者所在。目前的NIDS只能根據異常包中的地址判斷攻擊來源。
利用LLKM處理網絡通信:
利用LLKM簡單、臨時改變TCP/IP協議棧的行為,如更改出現在網絡傳輸線路上的TCP標志位,躲避一些IDS的監視。
復雜的TCP/IP包處理:
利用IDS不能正確模擬所有的TCP/IP棧的可能行為,對TCP/IP數據包進行特殊的處理以避過IDS。如將TCP/IP包分成很小的碎片,或者是打亂包的發送順序,或者是發送重疊的包,或者是包含有不正確校驗和、不正確序列號等,正常的TCP/IP軟件可以正確重組和處理包,而有相當多的NIDS不能正確處理這些包,所以會忽略基于這種特殊包的攻擊。
測試NIDS關于TCP/IP包的處理能力,可以使用fragrouter 或者 Cybercop Scanner。
【編輯推薦】
