剖析基本IDS的逃避技術及相關對策

http://www.yibo1263.com　2009-4-15 7:53:44 　來源:東北IT網(wǎng) 　編輯:葉子

　　在網(wǎng)絡蓬勃發(fā)展的幾天，網(wǎng)絡安全問題日益突出。網(wǎng)絡上的黑、白兩道在網(wǎng)絡安全的各個領域都展開了激烈的競爭。黑帽社團不斷推出躲避或者越過網(wǎng)絡入侵檢測系統(tǒng)(Network Intrusion Detection System,NIDS)的新技術，而NIDS的開發(fā)者不斷地在自己的產(chǎn)品中加入對這些技術的檢測。但是，由于NIDS本身的局限性，勝利的天平正在向黑帽子傾斜。本文將討論一些基本的IDS躲避技術，以及如何識破這些技術。

　　1.字符串匹配的弱點

　　針對基本字符串匹配弱點的IDS躲避技術是最早被提出和實現(xiàn)的。一些基于特征碼的入侵檢測設備幾乎完全依賴于字符串匹配算法，而對于一個編寫很差的特征碼，攻擊者可以輕松地破壞對其的字符串匹配。雖然不是所有的入侵檢測系統(tǒng)都是純粹基于特征碼檢測的，但是絕大多數(shù)對字符串匹配算法有很大的依賴。這里，我們將使用開放源碼工具snort的特征碼來進行討論。

　　在UNIX系統(tǒng)中，/etc/passwd是一個重要的文件，它包含用戶名、組成員關系和為用戶分配的shell等信息。我們就從監(jiān)視對/etc/passwd文件的訪問開始，下面是用于檢測的snort檢測規(guī)則：

　　alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";

　　flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122;rev:1)

　　snort使用字符串匹配算法對包含特征碼(/etc/passwd)的HTTP請求進行檢測。但是，這個規(guī)則的特征碼過于簡單了，攻擊者修改攻擊字符串可以很輕松地逃過檢測(我們暫時不考慮攻擊請求是通過HTTP發(fā)出的)。例如，把攻擊請求由GET /etc/passwd改為GET /etc/////passwd，或者GET /etc/rc.d/.././/passwd，修改方式簡直不計其數(shù)。這是最基本的娶親檢測逃避技術，對這種技術的檢測也相對容易一些，只要在編寫特征碼時能夠仔細考慮一下攻擊可能出現(xiàn)的變體。目前大多數(shù)流行入侵檢測系統(tǒng)都有非常強大的字符串匹配能力，足以檢測此類攻擊的大多數(shù)變體。不過，仍然有些編寫不太好的特征碼可以給攻擊者以可乘之機。

　　攻擊者還可以在此基礎上再加以變化，幾乎不費吹灰之力就可以加大入侵檢測系統(tǒng)的防御難度。例如在telnet之類的交互會話中，攻擊者企圖讀取/etc/passwd文件。通常，入侵檢測系統(tǒng)中存在很多特征碼一些誤用操作和后門等，但是這些特征碼一般只包含黑客工具名、文件名和程序名。在獲得/etc/passwd文件的內(nèi)容時，我們不直接輸入cat /etc/passwd等命令行，而是通過一個命令解釋器(例如：perl)來實現(xiàn)我們的目的：

　　badguy@host$ perl -e

　　‘$foo=pack(“C11”,47,101,116,99,47,112,97,115,115,119,100);

　　@bam=`/bin/cat/ $foo`; print”@bam/n”;’

　　從這個命令中，入侵檢測系統(tǒng)根本就不會重組出/etc/passwd這些字符。顯然，防御這種攻擊就很困難了，因為這要求入侵檢測系統(tǒng)必須能夠理解這種解釋器如何收到的命令，這恐怕不太現(xiàn)實。當然，入侵檢測系統(tǒng)也可以對使用解釋器的可疑行為進行報警，但是它很難對攻擊行為進行精確的監(jiān)視。

　　通過把字符串處理技術和字符替換技術結合到一起，我們可疑實現(xiàn)更復雜的字符串偽裝。對于WEB請求，我們不必使用命令解釋器，在我們的請求中使用16進制的URL即可，以下的請求可以被目標WEB服務器解釋為/etc/passwd：

　　GET %65%74%63/%70%61%73%73%77%64

　　或者

　　GET %65%74%63/%70a%73%73%77d

　　為了捕獲這一個字符串的所有變體，你可能需要1000個以上的特征碼進行字符串匹配，這還沒有考慮UNICODE。UNICODE提供了另一種字符表達方式。有關UNICODE的IDS欺騙技術細節(jié)，本文將不多做討論。如果想了解更多細節(jié)請參考SecurityFocus的IDS Evasion with Unicode。除此之外，RainForestPuppy在他的HTTP掃描工具Whisker中采用了另外一些IDS欺騙技術：

　　-I 1 IDS-evasive mode 1 (URL編碼)

　　-I 2 IDS-evasive mode 2 (/./目錄插入)

　　-I 3 IDS-evasive mode 3 (過早結束URL)

　　-I 4 IDS-evasive mode 4 (長URL)

　　-I 5 IDS-evasive mode 5 (偽造參數(shù))

　　-I 6 IDS-evasive mode 6 (TAB分割) (not NT/IIS)

　　-I 7 IDS-evasive mode 7 (大小寫敏感)

　　-I 8 IDS-evasive mode 8 (Windows分割符)

　　-I 9 IDS-evasive mode 9 (會話拼接) (slow)

本新聞共4頁,當前在第1頁 1 2 3 4

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费