如何用網路入侵偵測系統防範駭客攻擊

來源:互聯網
上載者:User

本文針對入侵偵測系統的漏洞來瞭解一下駭客的入侵手法。一旦安裝了網路入侵偵測系統,網路入侵偵測系統就會為你分析出網上出現的駭客攻擊事件,而且你能用此入侵偵測系統的反擊功能,即時將這種聯機獵殺或阻斷。你也可以配合防火牆的設定,由入侵偵測系統自動為你動態修改防火牆的存取規則,拒絕來自這個ip 的後續聯機動作!”這種美好的“前景”,可能是許多入侵偵測系統供應商的慣用銷售手法,一般的企業或組織在建立自己的入侵偵測系統時也會有這種預期目的。誠然,入侵偵測系統可以具有很好的監視及檢測入侵的能力,也可以對企業或組織的安全提供很好的協助。但是,正如小偷的手法會隨著鎖的設計而不斷“更新”一樣,隨著入侵偵測系統的出現,許多針對網路入侵偵測系統的規避手法也隨之不斷“升級”。如今,駭客對於入侵偵測系統已經有了一套較完整的入侵手法。下面我們將針對入侵偵測系統的漏洞來瞭解一下駭客的入侵手法。

一、識別方式的設計漏洞

1.對比已知攻擊手法與入侵偵測系統監視到的在網上出現的字串,是大部分網路入侵偵測系統都會採取的一種方式。例如,在早期apache web伺服器版本上的phf cgi程式,就是過去常被駭客用來讀取伺服器系統上的密碼檔案(/etc/password),或讓伺服器為其執行任意指令的工具之一。當駭客利用這種工具時,在其url request請求中多數就會出現類似“get /cgi-bin/phf?.....”的字串。因此許多入侵偵測系統就會直接對比所有的url request 中是否出現/cgi-bin/phf 的字串,以此判斷是否出現phf 的攻擊行為。

2.這樣的檢查方式,雖然適用於各種不同的入侵偵測系統,但那些不同的入侵偵測系統,因設計思想不同,採用的對比方式也會有所不同。有的入侵偵測系統僅能進行單純的字串對比,有的則能進行詳細的tcp session重建及檢查工作。這兩種設計方式,一個考慮了效能,一個則考慮了識別能力。攻擊者在進行攻擊時,為避免被入侵偵測系統發現其行為,可能會採取一些規避手法,以隱藏其意圖。例如:攻擊者會將url中的字元編碼成%xx 的警惕6進值,此時“cgi-bin”就會變成“%63%67%69%2d%62%69%6e”,單純的字串對比就會忽略掉這串編碼值內部代表的意義。攻擊者也可以通過目錄結構的特性,隱藏其真正的意圖,例如:在目錄結構中,“./”代表本目錄,“../”代表上層目錄,web伺服器 可能會將“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”這些url request均解析成“/cgi-bin/phf”,但單純的入侵偵測系統可能只會判斷這些request是否包含“/cgi-bin/phf”的字串,而沒有發現其背後所代表的意義。

3.將整個request在同一個tcp session中切割成多個僅內含幾個字元的小packet,網路入侵檢測若沒將整個tcp session重建,則入侵偵測系統將僅能看到類似“get”、“/cg”、“i”、“-bin”、“/phf”的個別packet,而不能發現重組回來的結果,因為它僅單純地檢查個別packet是否出現類似攻擊的字串。類似的規避方式還有ip fragmentation overlap、tcp overlap 等各種較複雜的欺瞞手法。

二、“獵殺”及重調安全政策的漏洞

所謂“獵殺”,就是在伺服器中設定一個陷阱,如有意開啟一個連接埠,用檢測系統對其進行24小時的嚴密盯防,當駭客嘗試通過該連接埠入侵時,檢測系統就會及時地將其封鎖。網路入侵偵測系統的“獵殺”及重新調整防火牆安全政策設定功能,雖然能即時阻斷攻擊動作,但這種阻斷動作僅能適用tcp session,要完全限制,就必須依賴重新調整防火牆安全政策設定的功能,同時也可能造成另一種反效果:即時阻斷的動作會讓攻擊者發現ids的存在,攻擊者通常會尋找規避方式,或轉向對ids進行攻擊。重新設定防火牆的安全政策,若設定不當,也可能造成被攻擊者用來做阻斷服務(denial of service)攻擊的工具:經過適當的設計,若網路入侵檢測的檢查不足,攻擊者可以偽裝成其他的正常ip來源進行攻擊動作,入侵偵測系統若貿然限制這些來源的ip,將會導致那些合法使用者因攻擊者的攻擊而無法使用。論是識別方式的設計,還是所謂的“獵殺”及重新設定防火牆安全政策的設定功能,都有其利弊。能夠實地瞭解入侵偵測系統的識別方式,或進行其識別手法的調整,將有助於提高入侵偵測系統運作的正確性。對“獵殺”及重新調整防火牆安全政策設定功能工具的使用,則應仔細評估其效益與相應的損失,這樣才能有效地發揮網路入侵偵測系統的功能。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。