IPS攻擊規避技術之TCP/IP協議規避
眾所周知,IDS作為傳統的安全防護技術,黑客攻擊者已經可以實現規避IDS系統,那么作為IDS系統的衍生物,IPS攻擊規避是否會發生呢?答案是肯定的,如今IPS攻擊規避已經可以實現,本篇文章就將著重講述通過TCP/IP協議實現IPS攻擊規避。
TCP/IP協議的抗規避處理難點主要集中在TCP協議上。TCP協議是端到端的復雜流式可靠傳輸協議,它的序列號、窗口,以及重傳等保障可靠傳輸的機制,會給IPS的檢測帶來很大困難,IPS只能被動地跟蹤通信雙方的數據及狀態變化,通過實時的數據流重組以進行檢測。
IPS必須內置TCP狀態跟蹤及流匯聚機制,以確保對TCP會話的持續跟蹤和分析。然而在數據傳輸過程中,一旦出現數據包順序錯亂,報文丟失或重傳等問題,很多IPS的檢測機制就會失效,一些規避攻擊恰恰利用這個缺陷,得以繞開IPS的檢測。
歸結起來,針對TCP/IP協議的IPS攻擊規避技術,主要包括如下幾種實現方式:
通過重傳機制發送干擾數據包(TTL、校驗和、窗口大小、序列號、標志位、時間戳等異常的數據包)和正常數據包,在正常數據包中嵌入攻擊負載,終端的TCP/IP協議棧會丟棄干擾數據包,并將載有攻擊的正常數據匯聚起來提交給應用程序。
通過利用TCP協議的序列號或IP協議的片偏移機制,對數據包進行細小劃分,并打亂發送順序(逆序,亂序)。
利用攻擊目標的協議棧特性,將數據以前重疊或后重疊的方式發送,例如下圖所示,Windows會傾向于先到的數據流分段,而Solaris傾向于后到的數據流分段。
在VISTA中如上所示的數據會被匯聚為“HELLO,WORLD!”,而在Solaris系統中會被匯聚為“HELP!,VIRUS!”,這就要求IPS產品不僅能夠實現一個完整的TCP/IP協議棧,還要能夠根據保護目標的類型進行重組策略的調整。
TCP/IP協議的規避技術,早在1998年發表的論文《Insertion, Evasion, and Denial of Service : Eluding Network Intrusion Detection》中就已經被詳細的描述。然而,目前大多數的IPS產品仍未具備完善的數據重組能力,這給入侵成功創造了很大空間。
【編輯推薦】
