突破入侵检测系统的办法有哪些,你知道几种?

Admin 2021-05-12 群英技术资�

       本文主要给大家介绍的如何突破入侵检测系统,了解破入侵检测系统的方法对于我们更好的防御以及完善入侵检测系统都是有帮助的,下面我们一起来看看都有哪些方法�

       入侵检测系统,英文简写为IDS,顾名思义,它是用来实时检测攻击行为以及报告攻击的。如果把防火墙比作守卫网络大门的门卫的话,那么入侵检测系�(IDS)就是可以主动寻找罪犯的巡警� 因而寻求突破IDS的技术对漏洞扫描、脚本注入、URL攻击等有着非凡的意义,同时也是为了使IDS进一步趋向完善�

       Snort是很多人都在用的一个IDS了,其实它也并不是万能的,笔者下面就来谈谈突破诸如Snort这类基于网络的IDS的方法:多态URL技术�

       提起多态二字,大家可能会联想到编写病毒技术中的“多态”、“变形”等加密技术,其实我这里所要讲的URL多态编码技术和病毒的多态变形技术也有神似之处,就是用不同的表现形式来实现相同的目的�

       对于同一个URL,我们可以用不同形式的编码来表示。IDS在实时检测时,将它检测到的数据与其本身规则集文件中规定为具有攻击意图的字符串进行对比,如果相匹配的话,则说明系统正在受攻击,从而阻止攻击以及发出警报。因为实现同一目的的URL可以用不同的形式来表示,所以经过变形编码后的URL可能就不在IDS的规则集文件中,也就扰乱了IDS的识别标志分析引擎,从而就实现了突破、绕过IDS的效�!

       多态URL编码技术有许多种,笔者在此介�9种常用且有一定代表性的方法。为了便于讲解,这里以提交地址�/msadc/ msadcs.dll的URL来作为例。�/msadc/msadcs.dll”已经被收集到snort等各大IDS的规则集文件中,因而当我们向目标机器直接提�/msadc/ msadcs.dll时都会被IDS截获并报警�

       第一招:�/./� 字符串插入法

       鉴于�./”的特殊作用,我们可以把它插入进URL中来实现URL的变彀比如对�/msadc/msadcs.dll,我们可以将它改写为/././msadc/././msadcs.dll�/./msadc/.//./msadcs.dll等形式来扰乱了IDS的识别标志分析引擎,实现了欺骗IDS的目的。而且改写后编码后的URL与未修改时在访问效果上是等效的。笔者曾经通过实验表明这种方法可以绕过Snort等IDS�

       第二招:�00 � ASCII�

       它的原理就是计算机处理字符串时在ASCII码为00处自动截断。我们就可以�/msadc/msadcs.dll改写�/msadc/msadcs.dll Iloveheikefangxian,用Winhex�.dll与Ilove之间的空格换�00的ASCII码,保存后再用NC配合管道符提交。这样在有些IDS看来/msadc/msadcs.dll Iloveheikefangxian并不与它的规则集文件中规定为具有攻击意图的字符串相同,从而它就会对攻击者的行为无动于衷。瞧!“计算机处理字符串时在ASCII码为00处自动截断”这一原理的应用多么广泛啊!从哲学上讲,事物之间相互存在着联系,我们应该多思考,挖掘出内在规律,这样就会有新的发现�

       第三招:使用路径分隔符“\�

       对于像微软的IIS这类Web服务器,“\“也可以当�/”一样作为路径分隔符。有些IDS在设置规则集文件时并没有考虑到非标准路径分隔符“\”。如果我们把/msadc/msadcs.dll改写为\msadc\ msadcs.dll就可以逃过snort的法眼了,因为snort的规则集文件里没有\msadc\ msadcs.dll这一识别标志�

       第四招:十六进制编码

       对于一个字�,我们可以用转义符号�%� 加上其十六进制的ASCII码来表示。比�/msadc/msadcs.dll中第一个字符�/”可以表示为%2F,接下来的字符可以用它们对应�16 进制的ASCII码结合�%”来表示,经过此法编码后的URL就不再是原先的模样了,IDS的规则集文件里可能没有编码后的字符串,从而就可以绕过IDS。但是这种方法对采用了HTTP预处理技术的IDS是无效的�

       第五�.非法Unicode编码

       UTF-8编码允许字符集包含多�256个字符,因此也就允许编码位数多于8位。�/”字符的十六进制的ASCII码是2F,用二进制数表示就是00101111。UTF-8格式中表�2F的标准方法仍然是2F,但是也可以使用多字节UTF-8来表�2F。字符�/”可以像下表中所示使用单字节、双字节、三字节的UTF-8编码来表示:

       �/”字符表示方� 二进� 十六进制

       单字� 0xxxxxxx 00101111 2F

       双字� 110xxxxx 10xxxxxx 11000000 10101111 C0 AF

       三字� 1110xxxx 10xxxxxx 10xxxxxx 11100000 10000000 10101111 E0 80 AF

       按照此方法,我们可以对整个字符串都进行相应的编码。虽然编码后的URL的最终指向的资源都相同,但它们的表达方式不同� IDS的规则集文件中就可能不存在此过滤字符串,从而就实现了突破IDS的目的�

       第六招: 多余编码�

       多余编码又称双解码。多余编码就是指对字符进行多次编码。比如�/”字符可以用%2f表示,�%2f”中的�%”、�2”、“f”字符又都可以分别用它的ASCII码的十六进制来表示,根据数学上的排列组合的知识可知,其编码的形式�2�3次方,于是�%2f”可以改写为:�%25%32%66”、�%252f”等等来实现URL的多态,编码后的字符串可能没被收集在IDS的规则集文件中,从而可以骗过有些IDS�

       第七�.加入虚假路径

       在URL中加入�../”字符串后,在该字符串后的目录就没有了意义,作废了。因此利用�../”字符串可以达到扰乱了识别标志分析引擎、突破IDS的效�!

       第八招:插入多斜�

       我们可以使用多个 �/”来代替单个的�/”。替代后的URL仍然能像原先一样工作。比如对/msadc/msadcs.dll的请求可以改�////msadc////msadcs.dll,经笔者曾经实验,这种方法可以绕过某些IDS�

       第九招:综合多态编�

       聪明的你一看这个小标题就知道了,所谓综合,就是把以上介绍的几种多态变形编码技术结合起来使用,这样的话效果会更好�

       以上就是关于突破入侵检测系统办法的介绍,希望大家阅读完这篇文章能有所收获,以学到更多知识,想要了解更多入侵检测系统的内容,可以关注其他相关文章�

标签� 入侵检测系�

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:[email protected]进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容�

猜你喜欢

群英网络开启智能安全云计算之旅

注册领取新人大礼�
专业资深工程师驻�
7X24小时快速响�
一站式无忧技术支�
免费备案服务

联系我们

24小时售后 24小时售后TEL�0668-2555666 售前咨询TEL�400-678-4567 投诉建议TEL�0668-2555999 投诉建议邮箱:t[email protected] 信息安全TEL�0668-2555118 域名空间客服 公司总机�0668-2555555 公司传真�0668-2555000
免费拨打  400-678-4567
免费拨打  400-678-4567 免费拨打 400-678-4567 � 0668-2555555
在线客服
微信公众号
返回顶部
返回顶部 返回顶部