IDS如何攻击
27.攻击响应系统来中断通信。
例如,一些IDS系统会切断从攻击发起处来的所有流量。伪造从特定主机发起的攻击,IDS系统将切断从那台主机来的所有连接,那时就可以攻击这台特定的主机了。这是我非常感兴趣的攻击。如果我理解正确的化,这意味着使用IDS的自动阻断攻击方IP地址的功能来阻断被保护网络主机。一些IDS产品,例如CMDS、NetRanger、NetProwler、RealSecure可以与防火墙或路由器联动。当特定的事件发生,路由器和防火墙将会限制特定主机的流量。这种技术有一个流量的问题,也就是防火墙和IDS系统协同工作的原因。当流量受限时,只限制由外向内的流量。那么由内向外就成了一个突破口。
28.逆向输入。
再使用一个转换工具转换。在发送和接受时作同样的事情。这只是一种伪装shell的新办法。
29.输入时中间插入符号,再用awk转变成前缀符。
IDS系统将不会中断连接。仅仅在网络IDS观察telnet或rlogin会话时才有用。这些技术很难轻易的在ftp,http,smtp等其他的协议上使用。
30.使用"emacs"作为shell,使用wipes和yanks输入输出命令缓存代替手工键入。
当在目标机执行攻击指令时IDS系统将只会看到类似于ctrl-W和ctrl-Y。NFR和RealSecure将察觉"emacs"的使用,因为不使用"vi"的人很明显的是hacker。同样,这也只是另一个隐藏命令的方法。通常只对telnet和rlogin有用。
非常缓慢的输入(每条命令之间最好相隔几个小时)。因为缓存大小的限制,你的输入被一大堆IDS不得不看的东西冲掉了。网络IDS有这样的弱点。主机IDS没有。一些网络IDS,如NFR、Dragon等能够被配置的足够发现长时间的低带宽的网络会话。
31.改变到目标的路由来躲过IDS
如果有拓扑方面知识的话,这将是一种有效的攻击。为了进行这种攻击,必须进行一定的网络解析。这将很容易的被网络IDS系统发现。这种攻击同时要求对passive IDS系统了如指掌。
32.改变从目标回来的返回路由来避免IDS
33.用源路由包指定不同的路由到目标,可以躲过一些单一的IDS
几乎所有的防火墙,路由器和服务器都会丢弃并且纪录源路由包。31、32、33都假设有备用的通道可以到达目标,但实际上,网络IDS可以配置成一个遏制点。
34.从被保护网络上用modem拨号进行攻击,可以躲过网络IDS系统
当然,我们有更多的办法来躲过IDS系统,先观察它们,再从他们不会察觉的地方入手。例如,我们可以向被Axent IA,BlackICE,甚至RealSecure保护的Windows NT系统释放一个病毒。这些IDS系统都不会察觉系统级的病毒。
35.干扰目标和IDS之间的通信。对于网络IDS,可以采用改变路由器通信的办法
网络IDS通过监听网络通信的办法来实现。如果通信没有被监听到,那么就不会有入侵察觉。这种攻击仅仅当攻击者可以改变内部网络路由,并且从通信到流量都有其他的存取点。许多网络IDS系统可以察觉到改变路由的企图。
例如,一些IDS系统会切断从攻击发起处来的所有流量。伪造从特定主机发起的攻击,IDS系统将切断从那台主机来的所有连接,那时就可以攻击这台特定的主机了。这是我非常感兴趣的攻击。如果我理解正确的化,这意味着使用IDS的自动阻断攻击方IP地址的功能来阻断被保护网络主机。一些IDS产品,例如CMDS、NetRanger、NetProwler、RealSecure可以与防火墙或路由器联动。当特定的事件发生,路由器和防火墙将会限制特定主机的流量。这种技术有一个流量的问题,也就是防火墙和IDS系统协同工作的原因。当流量受限时,只限制由外向内的流量。那么由内向外就成了一个突破口。
28.逆向输入。
再使用一个转换工具转换。在发送和接受时作同样的事情。这只是一种伪装shell的新办法。
29.输入时中间插入符号,再用awk转变成前缀符。
IDS系统将不会中断连接。仅仅在网络IDS观察telnet或rlogin会话时才有用。这些技术很难轻易的在ftp,http,smtp等其他的协议上使用。
30.使用"emacs"作为shell,使用wipes和yanks输入输出命令缓存代替手工键入。
当在目标机执行攻击指令时IDS系统将只会看到类似于ctrl-W和ctrl-Y。NFR和RealSecure将察觉"emacs"的使用,因为不使用"vi"的人很明显的是hacker。同样,这也只是另一个隐藏命令的方法。通常只对telnet和rlogin有用。
非常缓慢的输入(每条命令之间最好相隔几个小时)。因为缓存大小的限制,你的输入被一大堆IDS不得不看的东西冲掉了。网络IDS有这样的弱点。主机IDS没有。一些网络IDS,如NFR、Dragon等能够被配置的足够发现长时间的低带宽的网络会话。
31.改变到目标的路由来躲过IDS
如果有拓扑方面知识的话,这将是一种有效的攻击。为了进行这种攻击,必须进行一定的网络解析。这将很容易的被网络IDS系统发现。这种攻击同时要求对passive IDS系统了如指掌。
32.改变从目标回来的返回路由来避免IDS
33.用源路由包指定不同的路由到目标,可以躲过一些单一的IDS
几乎所有的防火墙,路由器和服务器都会丢弃并且纪录源路由包。31、32、33都假设有备用的通道可以到达目标,但实际上,网络IDS可以配置成一个遏制点。
34.从被保护网络上用modem拨号进行攻击,可以躲过网络IDS系统
当然,我们有更多的办法来躲过IDS系统,先观察它们,再从他们不会察觉的地方入手。例如,我们可以向被Axent IA,BlackICE,甚至RealSecure保护的Windows NT系统释放一个病毒。这些IDS系统都不会察觉系统级的病毒。
35.干扰目标和IDS之间的通信。对于网络IDS,可以采用改变路由器通信的办法
网络IDS通过监听网络通信的办法来实现。如果通信没有被监听到,那么就不会有入侵察觉。这种攻击仅仅当攻击者可以改变内部网络路由,并且从通信到流量都有其他的存取点。许多网络IDS系统可以察觉到改变路由的企图。
0
相关文章