IPS產品安全廠商與黑客的斗爭還在繼續，曾經成功繞過IDS的他們面對這款企業防護系統也發起了攻擊，黑客們已經可以同TCP/IP的漏洞進行IPS攻擊規避，本次的文章我們將簡述通過RPC協議規避來實現IPS攻擊規避的目的。

MS-RPC和Sun/ONC RPC都允許應用程序以分片的方式發送請求，這些分片在RPC服務器內會被重新組裝成完整請求形式。攻擊者通過將不同程度的RPC碎片和不同的TCP傳輸機制進行組合后，可以構造出多種的規避方式。例如：在單TCP數據包中發送所有分片，在不同TCP數據包內發送不同范圍的分片（如每個TCP數據包只攜帶一個RPC分片）等。

以MS08-059為例，Host Integration Server的RPC接口所暴露的一些方式，允許未經認證的攻擊者在服務器上執行任意程序。RPC opcodes 1和6都允許攻擊者調用CreateProcess()函數并向其傳送命令行，這可能導致完全入侵服務器。利用這個漏洞，攻擊者可以發送如下所示的請求，來提升權限：

CMD/c net user admin admin /ADD

為逃避檢測IPS對這種異常權限提升行為的檢測，攻擊者可以對RPC請求進行分片處理，下圖是在單TCP數據段內進行分片后的效果：
 

由于特征信息被“打散”，傳統的基于包特征匹配的方式很難處理這種規避，要檢測該攻擊需要依據DCERPC協議對RPC分片進行重組。可見，面對IPS攻擊規避，IPS不僅需要能夠對底層協議進行精確解析，還需要有非常細粒度的應用層協議處理能力。

【編輯推薦】

1. IPS攻擊規避技術之TCP/IP協議規避
2. 簡述如何直接或間接攻擊NIDS
3. 黑客針對緩沖區溢出繞過IDS的方式
4. 黑客針對木馬及幾種罕見途徑繞過IDS
5. 黑客針對HTTP請求繞過IDS的八種方式