网络通信 频道

IDS如何攻击

36.从跳板进行攻击。攻击将被察觉,但他们不会追踪到(除非它们特别擅长追踪)

但这种办法不是躲过IDS系统。仅仅是改变了IDS检测出的入侵主机。而且你作为跳板的主机可能也会监测到你的行为。

37.在不使用的端口上开启一个连接

这样做的前提是攻击者已经可以访问到目标。新的攻击不会以这种方式开始。有许多程序例如NetCat可以做这样的事情。大部分这样的程序都可以被网络IDS发现。RealSecure这样的产品甚至能发现LOKI ICMP 会话。

38.使用改变过的协议通信,例如在单词中使用逆序

这只是加密网络传输。前提条件是在对方网络里有一个对应的系统。

39.使用ip包封装ipx包来攻击。IDS系统可能仅仅注意ip包,但不理解它的内容

但是如果对方有一个基于ipx的IDS系统,他们就会发现这次攻击。

40.使用不同的隧道协议攻击。例如IP over SSL

还是加密传输技术。

为新的工具定义你自己的协议,然后用它攻击。你控制目标主机,写你自己的加密管道,用它在IDS系统面前通信,这并不是躲过IDS系统。

41.产生大量虚假的攻击信息来增加IDS的Noise级别。这将使管理员很难从大量信息中筛选出真实的攻击

很有意思,但是考虑到网络管理系统被设计为用不为人所理解的方式处理和显示信息。IDS系统也一样。例如,Dragong,在许多不同级别的提取中,用一些不同的工具来寻找不同的数据。企业及产品例如WebTrends 趋向于用一种非常容易理解的方式来显示所有整理过的安全信息。攻击者如果照前文所说的做了,他会使目标的alert级别升高。

43.把入侵指令放在一个word宏里面。把文档发送到目标。Ids可能不会解码宏里面的攻击指令

参考34。一些产品如RealSecure会发现可疑的JAVA和ActiveX下载。带有病毒检测的应用代理防火墙同样可以察觉这样的攻击。

44.把入侵指令放到Power point、lotus-123等任何你能想到的其他产品的宏里面

45.把指令放到编译后的程序里(例如,一个木马),然后,想办法让目标主机下载然后执行

这是一个经典的攻击。常见的木马可以被许多主机和网络IDS发现。一些防火墙甚至可以发现BO2K的扫描。从另一方面来说,这也是今天计算机安全所面临的最严重的问题之一。几乎不可能检查二进制程序甚至源码来预测它将要做什么。IDS也做不到,但这也不是你扔掉IDS产品的理由。当你想要用E-mail发送敏感的公司信息时,大部分IDS或防火墙产品同样也不会发现。

46.使用很少见的协议来攻击。IDS可能不知道如何解码这种包

协议并不是一个很好的词语。如果它意味着不同的udp/tcp端口,那么网络IDS就应该发现它。但是许多网络IDS产品仅仅把他们可以理解的标记为可疑。对以非icmp,udp,tcp的方式进行的攻击,很多IDS虽然能够检测到却无法识别。

47.用不同的语言对原始发布的exploit重写

我认为这不是很有用。例如check-cgi程序,它已经传播了好几个月,可以检查70多个cgi漏洞。它被从c移植到Perl,但在网络层上没有任何不同。这种方法仅仅当IDS只搜寻特定的二进制程序才有效。

49.攻击没有运行unix的系统。因为今天几乎所有的IDS都是针对unix系统的

一份调查显示NetProwler,NFR Flight Jacket,NetRanger,RealSecure,Dragon,BlackICE 都可以发现多数的windows NT类攻击
0
相关文章