IDS如何攻击
11.对指令加密
例如,使用ssh,可以防止sniffer,网络IDS一般包括sniffer功能。
这种方式仅对基于网络的IDS有用。基于主机的IDS在ssh下对用户行为可以进行完全的控制。
12.发送时使用后缀符号,然后在其他地方再转换回来
IDS不会理解这些符号。
14.和目标机之间用全双工通信,大部分IDS理解不了附加的字符
Dragon,T_Sight和所有版本的DoD NID程序可以对付这些情况。
15.在一次入侵中交互使用一些已知的入侵技术。IDS可能不会全部分辨出
很可能发现至少一种入侵。
16.对daemons发送的结果编码,这样返回的格式将不会被IDS察觉
例如,如果你利用 一个sendmail的bug发送一个password文件给你自己,可以通过管道用一个sed脚本将文件中的":"改变成"-"。这发生在入侵成功之后。在入侵成功后怎么处理password文件是很有意思的,但这不属于典型的攻击行为。
17.通过管道用awk脚本对字符进行交换。可以躲过IDS
这不是一种新的方法。从一张表里用行号选择命令,而目标执行相应的命令。例如,你可以键入"15 *.com",而目标却执行"dir *.com"。这只是加密shell命令的一种新办法。
18.DOS IDS的sensor端口。使它失效
许多基于网络的IDS产品经过安全的配置,可以在没有IP堆栈的情况下完成sensor的工作。一些IDS产品,例如Dragon,没有任何打开的udp或tcp端口。RealSecure,NetProwler,NetRanger同样可以释放ip堆栈来防止攻击。
19.用pingflood来攻击IDS
通过发送大的ping包,可以使许多运行IDS的系统崩溃,这样它就不会发现随后的攻击。还是DOS技术。许多网络IDS比周围的环境有更高的安全性。
20.攻击IDS所运行的平台。
许多IDS运行在常见的有漏洞的操作系统上。一旦攻击平台得手,对付IDS就轻而易举了。
21.创造错误的审计纪录来迷惑IDS。
例如,在攻击包和正常包之间发送包可以使攻击看起来无害。NFR和Dragon网络IDS可以避免这些攻击。一般来说,基于主机的IDS不会存在这些漏洞。
25.消耗IDS系统的磁盘空间,然后进行攻击。
用无害的数据填充磁盘空间,IDS将崩溃,随后的攻击就不会被发现。Ids系统什么时候崩溃呢?如果IDS系统记录所有的信息,它可能被管理员注意。攻击者所做的只是提高了管理员的警觉性。
26.停止审计记录的生成或采集然后进行攻击。
例如,使用ssh,可以防止sniffer,网络IDS一般包括sniffer功能。
这种方式仅对基于网络的IDS有用。基于主机的IDS在ssh下对用户行为可以进行完全的控制。
12.发送时使用后缀符号,然后在其他地方再转换回来
IDS不会理解这些符号。
14.和目标机之间用全双工通信,大部分IDS理解不了附加的字符
Dragon,T_Sight和所有版本的DoD NID程序可以对付这些情况。
15.在一次入侵中交互使用一些已知的入侵技术。IDS可能不会全部分辨出
很可能发现至少一种入侵。
16.对daemons发送的结果编码,这样返回的格式将不会被IDS察觉
例如,如果你利用 一个sendmail的bug发送一个password文件给你自己,可以通过管道用一个sed脚本将文件中的":"改变成"-"。这发生在入侵成功之后。在入侵成功后怎么处理password文件是很有意思的,但这不属于典型的攻击行为。
17.通过管道用awk脚本对字符进行交换。可以躲过IDS
这不是一种新的方法。从一张表里用行号选择命令,而目标执行相应的命令。例如,你可以键入"15 *.com",而目标却执行"dir *.com"。这只是加密shell命令的一种新办法。
18.DOS IDS的sensor端口。使它失效
许多基于网络的IDS产品经过安全的配置,可以在没有IP堆栈的情况下完成sensor的工作。一些IDS产品,例如Dragon,没有任何打开的udp或tcp端口。RealSecure,NetProwler,NetRanger同样可以释放ip堆栈来防止攻击。
19.用pingflood来攻击IDS
通过发送大的ping包,可以使许多运行IDS的系统崩溃,这样它就不会发现随后的攻击。还是DOS技术。许多网络IDS比周围的环境有更高的安全性。
20.攻击IDS所运行的平台。
许多IDS运行在常见的有漏洞的操作系统上。一旦攻击平台得手,对付IDS就轻而易举了。
21.创造错误的审计纪录来迷惑IDS。
例如,在攻击包和正常包之间发送包可以使攻击看起来无害。NFR和Dragon网络IDS可以避免这些攻击。一般来说,基于主机的IDS不会存在这些漏洞。
25.消耗IDS系统的磁盘空间,然后进行攻击。
用无害的数据填充磁盘空间,IDS将崩溃,随后的攻击就不会被发现。Ids系统什么时候崩溃呢?如果IDS系统记录所有的信息,它可能被管理员注意。攻击者所做的只是提高了管理员的警觉性。
26.停止审计记录的生成或采集然后进行攻击。
0
相关文章