如何用网络进侵检测系统防范黑客攻击

核心提示：本文针对进侵检测系统的漏洞来了解1下黑客的进侵手法。

本文针对进侵检测系统的漏洞来了解1下黑客的进侵手法。1旦安装了网络进侵检测系统，网络进侵检测系统就会为你分析出网上出现的黑客攻击事件，而且你能用此进侵检测系统的反击功能，即时将这类联机猎杀或阻断。你也能够配合防火墙的设置，由进侵检测系统自动为你动态修改防火墙的存取规则，拒尽来自这个ip 的后续联机动作!”这类美好的“远景”，多是很多进侵检测系统提供商的惯用销售手法，1般的企业或组织在建立自己的进侵检测系统时也会有这类预期目的。诚然，进侵检测系统可以具有很好的监视及检测进侵的能力，也能够对企业或组织的安全提供很好的协助。但是，正如小偷的手法会随着锁的设计而不断“更新”1样，随着进侵检测系统的出现，很多针对网络进侵检测系统的规避手法也随之不断“升级”。如今，黑客对进侵检测系统已有了1套较完全的进侵手法。下面我们将针对进侵检测系统的漏洞来了解1下黑客的进侵手法。

1、辨认方式的设计漏洞

1.对照已知攻击手法与进侵检测系统监视到的在网上出现的字符串，是大部份网络进侵检测系统都会采取的1种方式。例如，在早期apache web服务器版本上的phf cgi程序，就是过平常被黑客用来读取服务器系统上的密码文件(/etc/password)，或让服务器为其履行任意指令的工具之1。当黑客利用这类工具时，在其url request要求中多数就会出现类似“get /cgi-bin/phf?.....”的字符串。因此很多进侵检测系统就会直接对照所有的url request 中是否是出现/cgi-bin/phf 的字符串，以此判定是否是出现phf 的攻击行动。

2.这样的检查方式，固然适用于各种不同的进侵检测系统，但那些不同的进侵检测系统，因设计思想不同，采取的对照方式也会有所不同。有的进侵检测系统仅能进行单纯的字符串对照，有的则能进行具体的tcp session重建及检查工作。这两种设计方式，1个考虑了效能，1个则考虑了辨认能力。攻击者在进行攻击时，为避免被进侵检测系统发现其行动，可能会采取1些规避手法，以隐躲其意图。例如：攻击者会将url中的字符编码成%xx 的警惕6进值，此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”，单纯的字符串对照就会忽视掉这串编码值内部代表的意义。攻击者也能够通过目录结构的特性，隐躲其真实的意图，例如：在目录结构中，“./”代表本目录，“../”代表上层目录，web服务器 可能会将“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”这些url request均解析成“/cgi-bin/phf”，但单纯的进侵检测系统可能只会判定这些request是否是包括“/cgi-bin/phf”的字符串，而没有发现其背后所代表的意义。

3.将全部request在同1个tcp session中切割成多个仅内含几个字符的小packet，网络进侵检测若没将全部tcp session重建，则进侵检测系统将仅能看到类似“get”、“/cg”、“i”、“-bin”、“/phf”的个别packet，而不能发现重组回来的结果，由于它仅单纯地检查个别packet是否是出现类似攻击的字符串。类似的规避方式还有ip fragmentation overlap、tcp overlap 等各种较复杂的欺瞒手法。

2、“猎杀”及重调安全政策的漏洞

所谓“猎杀”，就是在服务器中设定1个圈套，如故意打开1个端口，用检测系统对其进行24小时的周密盯防，当黑客尝试通过该端口进侵时，检测系统就会及时地将其封闭。网络进侵检测系统的“猎杀”及重新调剂防火墙安全政策设置功能，固然能即时阻断攻击动作，但这类阻断动作仅能适用tcp session，要完全限制，就必须依托重新调剂防火墙安全政策设置的功能，同时也可能造成另1种反效果：即时阻断的动作会让攻击者发现ids的存在，攻击者通常会寻觅规避方式，或转向对ids进行攻击。重新设置防火墙的安全政策，若设置不当，也可能造成被攻击者用来做阻断服务(denial of service)攻击的工具：经过适当的设计，若网络进侵检测的检查不足，攻击者可以假装成其他的正常ip来源进行攻击动作，进侵检测系统若冒然限制这些来源的ip，将会导致那些正当用户因攻击者的攻击而没法使用。论是辨认方式的设计，还是所谓的“猎杀”及重新设置防火墙安全政策的设置功能，都有其利弊。能够实地了解进侵检测系统的辨认方式，或进行其辨认手法的调剂，将有助于进步进侵检测系统运作的正确性。对“猎杀”及重新调剂防火墙安全政策设置功能工具的使用，则应仔细评估其效益与相应的损失，这样才能有效地发挥网络进侵检测系统的功能。

评论加载中... 内容： 评论者： 验证码：