NIDS，即網絡入侵檢測系統，主要是用于檢測Hacker或Cracker通過網絡進行的入侵行為。企業通過部署NIDS試圖保證自己的網絡安全。但是有了充分的防范不代表黑客們就不會去嘗試攻擊你，要知道黑客是十分樂于嘗試有挑戰的事情。本文就簡單的介紹一下攻擊NIDS的兩種途徑：直接攻擊NIDS和間接攻擊NIDS。

1.如何直接攻擊NIDS

直接對NIDS進行攻擊。因為NIDS是安裝在一定的操作系統之上，而且本身也是一個 復雜的TCP/IP操作系統，這意味著NIDS本身可能受到smurf、synflood或jolt2等攻擊。如果安裝IDS的操作系統本身存在漏洞或IDS自身防御力差，此類攻擊很有可能造成IDS的探測器丟包、失效或不能正常工作。但是隨著IDS技術的發展，一些NIDS采用了雙網卡的技術，一個網卡綁定IP，用來與console（控制臺）通信，另外一個網卡無IP，用來收集網絡數據包，其中連在網絡中的是無IP的網卡，因為沒有IP，所以不能直接攻擊，而且新的IDS一般采用了協議分析的技術，提高了IDS捕捉和處理數據包的性能，所以直接攻擊NIDS這種方法已經行不通了。

2.如何間接攻擊NIDS

一般的NIDS都有入侵響應的功能，如記錄日志，發送告警信息給console、發送警告郵件，防火墻互動等，我們可以利用IDS的響應進行間接攻擊，使入侵日志迅速增加，塞滿硬盤；發送大量的警告信息，使管理員無法發現真正的攻擊者，并占用大量的cpu資源；發送大量的告警郵件，占滿告警信箱或硬盤，并占用接收警告郵件服務器的系統資源；發送虛假的警告信息，使防火墻錯誤配置，造成一些正常的IP無法訪問等！

在目前來看，攻擊NIDS最有效的辦法是利用Coretez Giovanni寫的Stick程序，Stick使用了很巧妙的辦法，它可以在2秒內模擬450次攻擊，快速的告警信息的產生會讓IDS反應不過來、產生失去反應甚至死機現象。由于Stick發出多個有攻擊特征（按照snort的規則組包）的數據包，所以IDS匹配了這些數據包的信息時，就會頻繁發出警告，造成管理者無法分辨哪些警告是針對真正的攻擊發出的，從而使IDS失去作用。當有攻擊表現的信息包數量超過IDS的處理能力的話，IDS會陷入拒絕服務狀態。Stick對許多IDS有影響，ISS公司的產品也不例外，該公司的產品中曾有"RealSecure Network Sensor 5.0"的Windows NT/2000版受到了影響，后來ISS發布了補丁，好像已經解決了這個問題。但其它一些公司的IDS，如snort，因為Stick發送的是按snort規則組成的包，所以用Stick攻擊裝有snort的網絡時，會產生大量的日志記錄。
 

【編輯推薦】

1. 如何構建入門級IDS
2. IDS漏洞分析與黑客入侵手法
3. 黑客針對木馬及幾種罕見途徑繞過IDS
4. 黑客針對緩沖區溢出繞過IDS的方式
5. 黑客針對HTTP請求繞過IDS的八種方式