网络通信 频道

IDS如何攻击

11.对指令加密

例如,使用ssh,可以防止sniffer,网络IDS一般包括sniffer功能。

这种方式仅对基于网络的IDS有用。基于主机的IDS在ssh下对用户行为可以进行完全的控制。

12.发送时使用后缀符号,然后在其他地方再转换回来

IDS不会理解这些符号。

14.和目标机之间用全双工通信,大部分IDS理解不了附加的字符

Dragon,T_Sight和所有版本的DoD NID程序可以对付这些情况。

15.在一次入侵中交互使用一些已知的入侵技术。IDS可能不会全部分辨出

很可能发现至少一种入侵。

16.对daemons发送的结果编码,这样返回的格式将不会被IDS察觉

例如,如果你利用 一个sendmail的bug发送一个password文件给你自己,可以通过管道用一个sed脚本将文件中的":"改变成"-"。这发生在入侵成功之后。在入侵成功后怎么处理password文件是很有意思的,但这不属于典型的攻击行为。

17.通过管道用awk脚本对字符进行交换。可以躲过IDS

这不是一种新的方法。从一张表里用行号选择命令,而目标执行相应的命令。例如,你可以键入"15 *.com",而目标却执行"dir *.com"。这只是加密shell命令的一种新办法。

18.DOS IDS的sensor端口。使它失效

许多基于网络的IDS产品经过安全的配置,可以在没有IP堆栈的情况下完成sensor的工作。一些IDS产品,例如Dragon,没有任何打开的udp或tcp端口。RealSecure,NetProwler,NetRanger同样可以释放ip堆栈来防止攻击。

19.用pingflood来攻击IDS

通过发送大的ping包,可以使许多运行IDS的系统崩溃,这样它就不会发现随后的攻击。还是DOS技术。许多网络IDS比周围的环境有更高的安全性。

20.攻击IDS所运行的平台。

许多IDS运行在常见的有漏洞的操作系统上。一旦攻击平台得手,对付IDS就轻而易举了。

21.创造错误的审计纪录来迷惑IDS。

例如,在攻击包和正常包之间发送包可以使攻击看起来无害。NFR和Dragon网络IDS可以避免这些攻击。一般来说,基于主机的IDS不会存在这些漏洞。

25.消耗IDS系统的磁盘空间,然后进行攻击。

用无害的数据填充磁盘空间,IDS将崩溃,随后的攻击就不会被发现。Ids系统什么时候崩溃呢?如果IDS系统记录所有的信息,它可能被管理员注意。攻击者所做的只是提高了管理员的警觉性。

26.停止审计记录的生成或采集然后进行攻击。
0
相关文章