針對***檢測系統(tǒng)的漏洞,讓我們來了解一下***的***手法。一旦安裝了網(wǎng)絡***檢測系統(tǒng)，網(wǎng)絡***檢測系統(tǒng)就會為你分析出網(wǎng)上出現(xiàn)的******事件，而且你能用此***檢測系統(tǒng)的反擊功能，即時將這種聯(lián)機獵殺或阻斷。你也可以配合防火墻的設置，由***檢測系統(tǒng)自動為你動態(tài)修改防火墻的存取規(guī)則，拒絕來自這個ip 的后續(xù)聯(lián)機動作！”誠然，***檢測系統(tǒng)可以具有很好的監(jiān)視及檢測***的能力，也可以對企業(yè)或組織的安全提供很好的協(xié)助。但是，正如小偷的手法會隨著鎖的設計而不斷“更新”一樣，隨著***檢測系統(tǒng)的出現(xiàn)，許多針對網(wǎng)絡***檢測系統(tǒng)的規(guī)避手法也隨之不斷“升級”。 一、識別方式的設計漏洞 1.對比已知***手法與***檢測系統(tǒng)監(jiān)視到的在網(wǎng)上出現(xiàn)的字符串，是大部分網(wǎng)絡***檢測系統(tǒng)都會采取的一種方式。例如，在早期apache web服務器版本上的phf cgi程序，就是過去常被***用來讀取服務器系統(tǒng)上的密碼文件(/etc/password)，或讓服務器為其執(zhí)行任意指令的工具之一。當***利用這種工具時，在其url request請求中多數(shù)就會出現(xiàn)類似“get /cgi-bin/phf?.....”的字符串。因此許多***檢測系統(tǒng)就會直接對比所有的url request 中是否出現(xiàn)/cgi-bin/phf 的字符串，以此判斷是否出現(xiàn)phf 的***行為。 2.這樣的檢查方式，雖然適用于各種不同的***檢測系統(tǒng)，但那些不同的***檢測系統(tǒng)，因設計思想不同，采用的對比方式也會有所不同。有的***檢測系統(tǒng)僅能進行單純的字符串對比，有的則能進行詳細的tcp session重建及檢查工作。這兩種設計方式，一個考慮了效能，一個則考慮了識別能力。***者在進行***時，為避免被***檢測系統(tǒng)發(fā)現(xiàn)其行為，可能會采取一些規(guī)避手法，以隱藏其意圖。例如：***者會將url中的字符編碼成%xx 的警惕6進值，此時“cgi-bin”就會變成“%63%67%69%2d%62%69%6e”，單純的字符串對比就會忽略掉這串編碼值內(nèi)部代表的意義。***者也可以通過目錄結構的特性，隱藏其真正的意圖，例如：在目錄結構中，“./”代表本目錄，“../”代表上層目錄，web服務器 可能會將“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”這些url request均解析成“/cgi-bin/phf”，但單純的***檢測系統(tǒng)可能只會判斷這些request是否包含“/cgi-bin/phf”的字符串，而沒有發(fā)現(xiàn)其背后所代表的意義。 3.將整個request在同一個tcp session中切割成多個僅內(nèi)含幾個字符的小packet，網(wǎng)絡***檢測若沒將整個tcp session重建，則***檢測系統(tǒng)將僅能看到類似“get”、“/cg”、“i”、“-bin”、“/phf”的個別packet，而不能發(fā)現(xiàn)重組回來的結果，因為它僅單純地檢查個別packet是否出現(xiàn)類似***的字符串。類似的規(guī)避方式還有ip fragmentation overlap、tcp overlap 等各種較復雜的欺瞞手法。 二、“獵殺”及重調(diào)安全政策的漏洞 所謂“獵殺”，就是在服務器中設定一個陷阱，如有意打開一個端口，用檢測系統(tǒng)對其進行24小時的嚴密盯防，當***嘗試通過該端口***時，檢測系統(tǒng)就會及時地將其封鎖。網(wǎng)絡***檢測系統(tǒng)的“獵殺”及重新調(diào)整防火墻安全政策設置功能，雖然能即時阻斷***動作，但這種阻斷動作僅能適用tcp session，要完全限制，就必須依賴重新調(diào)整防火墻安全政策設置的功能，同時也可能造成另一種反效果：即時阻斷的動作會讓***者發(fā)現(xiàn)ids的存在，***者通常會尋找規(guī)避方式，或轉向對ids進行***。重新設置防火墻的安全政策，若設置不當，也可能造成被***者用來做阻斷服務(denial of service)***的工具：經(jīng)過適當?shù)脑O計，若網(wǎng)絡***檢測的檢查不足，***者可以偽裝成其他的正常ip來源進行***動作，***檢測系統(tǒng)若貿(mào)然限制這些來源的ip，將會導致那些合法用戶因***者的***而無法使用。論是識別方式的設計，還是所謂的“獵殺”及重新設置防火墻安全政策的設置功能，都有其利弊。能夠實地了解***檢測系統(tǒng)的識別方式，或進行其識別手法的調(diào)整，將有助于提高***檢測系統(tǒng)運作的正確性。對“獵殺”及重新調(diào)整防火墻安全政策設置功能工具的使用，則應仔細評估其效益與相應的損失，這樣才能有效地發(fā)揮網(wǎng)絡***檢測系統(tǒng)的功能。

轉載于:https://blog.51cto.com/infosec/97393

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結

以上是生活随笔為你收集整理的利用***检测系统防范******方法介绍的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。