本文針對(duì)入侵檢測(cè)系統(tǒng)的漏洞來了解一下黑客的入侵手法。一旦安裝了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)就會(huì)為你分析出網(wǎng)上出現(xiàn)的黑客攻擊事件，而且你能用此入侵檢測(cè)系統(tǒng)的反擊功能，即時(shí)將這種聯(lián)機(jī)獵殺或阻斷。你也可以配合防火墻的設(shè)置，由入侵檢測(cè)系統(tǒng)自動(dòng)為你動(dòng)態(tài)修改防火墻的存取規(guī)則，拒絕來自這個(gè)IP 的后續(xù)聯(lián)機(jī)動(dòng)作!”這種美好的“前景”，可能是許多入侵檢測(cè)系統(tǒng)提供商的慣用銷售手法，一般的企業(yè)或組織在建立自己的入侵檢測(cè)系統(tǒng)時(shí)也會(huì)有這種預(yù)期目的。誠然，入侵檢測(cè)系統(tǒng)可以具有很好的監(jiān)視及檢測(cè)入侵的能力，也可以對(duì)企業(yè)或組織的安全提供很好的協(xié)助。但是，正如小偷的手法會(huì)隨著鎖的設(shè)計(jì)而不斷“更新”一樣，隨著入侵檢測(cè)系統(tǒng)的出現(xiàn)，許多針對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的規(guī)避手法也隨之不斷“升級(jí)”。如今，黑客對(duì)于入侵檢測(cè)系統(tǒng)已經(jīng)有了一套較完整的入侵手法。下面我們將針對(duì)入侵檢測(cè)系統(tǒng)的漏洞來了解一下黑客的入侵手法。
　　一、識(shí)別方式的設(shè)計(jì)漏洞 　　1.對(duì)比已知攻擊手法與入侵檢測(cè)系統(tǒng)監(jiān)視到的在網(wǎng)上出現(xiàn)的字符串，是大部分網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)都會(huì)采取的一種方式。例如，在早期Apache Web服務(wù)器版本上的phf CGI程序，就是過去常被黑客用來讀取服務(wù)器系統(tǒng)上的密碼文件(/etc/password)，或讓服務(wù)器為其執(zhí)行任意指令的工具之一。當(dāng)黑客利用這種工具時(shí)，在其URL request請(qǐng)求中多數(shù)就會(huì)出現(xiàn)類似“GET /cgi-bin/phf?.....”的字符串。因此許多入侵檢測(cè)系統(tǒng)就會(huì)直接對(duì)比所有的URL request 中是否出現(xiàn)/cgi-bin/phf 的字符串，以此判斷是否出現(xiàn)phf 的攻擊行為。 　　2.這樣的檢查方式，雖然適用于各種不同的入侵檢測(cè)系統(tǒng)，但那些不同的入侵檢測(cè)系統(tǒng)，因設(shè)計(jì)思想不同，采用的對(duì)比方式也會(huì)有所不同。有的入侵檢測(cè)系統(tǒng)僅能進(jìn)行單純的字符串對(duì)比，有的則能進(jìn)行詳細(xì)的TCP Session重建及檢查工作。這兩種設(shè)計(jì)方式，一個(gè)考慮了效能，一個(gè)則考慮了識(shí)別能力。攻擊者在進(jìn)行攻擊時(shí)，為避免被入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)其行為，可能會(huì)采取一些規(guī)避手法，以隱藏其意圖。例如：攻擊者會(huì)將URL中的字符編碼成%XX 的警惕6進(jìn)值，此時(shí)“cgi-bin”就會(huì)變成“cgi-bin”，單純的字符串對(duì)比就會(huì)忽略掉這串編碼值內(nèi)部代表的意義。攻擊者也可以通過目錄結(jié)構(gòu)的特性，隱藏其真正的意圖，例如：在目錄結(jié)構(gòu)中，“./”代表本目錄，“../”代表上層目錄，Web服務(wù)器 可能會(huì)將“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”這些URL request均解析成“/cgi-bin/phf”，但單純的入侵檢測(cè)系統(tǒng)可能只會(huì)判斷這些request是否包含“/cgi-bin/phf”的字符串，而沒有發(fā)現(xiàn)其背后所代表的意義。 　　3.將整個(gè)request在同一個(gè)TCP Session中切割成多個(gè)僅內(nèi)含幾個(gè)字符的小Packet，網(wǎng)絡(luò)入侵檢測(cè)若沒將整個(gè)TCP session重建，則入侵檢測(cè)系統(tǒng)將僅能看到類似“GET”、“/cg”、“i”、“-bin”、“/phf”的個(gè)別Packet，而不能發(fā)現(xiàn)重組回來的結(jié)果，因?yàn)樗鼉H單純地檢查個(gè)別Packet是否出現(xiàn)類似攻擊的字符串。類似的規(guī)避方式還有IP Fragmentation Overlap、TCP Overlap 等各種較復(fù)雜的欺瞞手法。 　　二、“獵殺”及重調(diào)安全政策的漏洞 　　所謂“獵殺”，就是在服務(wù)器中設(shè)定一個(gè)陷阱，如有意打開一個(gè)端口，用檢測(cè)系統(tǒng)對(duì)其進(jìn)行24小時(shí)的嚴(yán)密盯防，當(dāng)黑客嘗試通過該端口入侵時(shí)，檢測(cè)系統(tǒng)就會(huì)及時(shí)地將其封鎖。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的“獵殺”及重新調(diào)整防火墻安全政策設(shè)置功能，雖然能即時(shí)阻斷攻擊動(dòng)作，但這種阻斷動(dòng)作僅能適用TCP Session，要完全限制，就必須依賴重新調(diào)整防火墻安全政策設(shè)置的功能，同時(shí)也可能造成另一種反效果：即時(shí)阻斷的動(dòng)作會(huì)讓攻擊者發(fā)現(xiàn)IDS的存在，攻擊者通常會(huì)尋找規(guī)避方式，或轉(zhuǎn)向?qū)DS進(jìn)行攻擊。重新設(shè)置防火墻的安全政策，若設(shè)置不當(dāng)，也可能造成被攻擊者用來做阻斷服務(wù)(Denial of Service)攻擊的工具：經(jīng)過適當(dāng)?shù)脑O(shè)計(jì)，若網(wǎng)絡(luò)入侵檢測(cè)的檢查不足，攻擊者可以偽裝成其他的正常IP來源進(jìn)行攻擊動(dòng)作，入侵檢測(cè)系統(tǒng)若貿(mào)然限制這些來源的IP，將會(huì)導(dǎo)致那些合法用戶因攻擊者的攻擊而無法使用。論是識(shí)別方式的設(shè)計(jì)，還是所謂的“獵殺”及重新設(shè)置防火墻安全政策的設(shè)置功能，都有其利弊。能夠?qū)嵉亓私馊肭謾z測(cè)系統(tǒng)的識(shí)別方式，或進(jìn)行其識(shí)別手法的調(diào)整，將有助于提高入侵檢測(cè)系統(tǒng)運(yùn)作的正確性。對(duì)“獵殺”及重新調(diào)整防火墻安全政策設(shè)置功能工具的使用，則應(yīng)仔細(xì)評(píng)估其效益與相應(yīng)的損失，這樣才能有效地發(fā)揮網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的功能。

最新評(píng)論