分析入侵检测系统漏洞 认识黑客入侵手法本文针对入侵检测系统的漏洞来了解一下黑客的入侵手法。一旦安装了网络入侵检测系统,网络入侵检测系统就会为你分析出网上出现的黑客攻击事件,而且你能用此入侵检测系统的反击功能,即时将这种联机猎杀或阻断。你也可以配合防火墙的设置,由入侵检测系统自动为你动态修改防火墙的存取规则,拒绝来自这个IP 的后续联机动作!”这种美好的“前景”,可能是许多入侵检测系统提供商的惯用销售手法,一般的企业或组织在建立自己的入侵检测系统时也会有这种预期目的。诚然,入侵检测系统可以具有很好的监视及检测入侵的能力,也可以对企业或组织的安全提供很好的协助。但是,正如小偷的手法会随着锁的设计而不断“更新”一样,随着入侵检测系统的出现,许多针对网络入侵检测系统的规避手法也随之不断“升级”。如今,黑客对于入侵检测系统已经有了一套较完整的入侵手法。下面我们将针对入侵检测系统的漏洞来了解一下黑客的入侵手法。 一、识别方式的设计漏洞 1.对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串,是大部分网络入侵检测系统都会采取的一种方式。例如,在早期Apache Web服务器版本上的phf CGI程序,就是过去常被黑客用来读取服务器系统上的密码文件(/etc/password),或让服务器为其执行任意指令的工具之一。当黑客利用这种工具时,在其URL request请求中多数就会出现类似“GET /cgi-bin/phf?.....”的字符串。因此许多入侵检测系统就会直接对比所有的URL request 中是否出现/cgi-bin/phf 的字符串,以此判断是否出现phf 的攻击行为。 2.这样的检查方式,虽然适用于各种不同的入侵检测系统,但那些不同的入侵检测系统,因设计思想不同,采用的对比方式也会有所不同。有的入侵检测系统仅能进行单纯的字符串对比,有的则能进行详细的TCP Session重建及检查工作。这两种设计方式,一个考虑了效能,一个则考虑了识别能力。攻击者在进行攻击时,为避免被入侵检测系统发现其行为,可能会采取一些规避手法,以隐藏其意图。例如:攻击者会将URL中的字符编码成%XX 的警惕6进值,此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”,单纯的字符串对比就会忽略掉这串编码值内部代表的意义。攻击者也可以通过目录结构的特性,隐藏其真正的意图,例如:在目录结构中,“./”代表本目录,“../”代表上层目录,Web服务器 可能会将“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”这些URL request均解析成“/cgi-bin/phf”,但单纯的入侵检测系统可能只会判断这些request是否包含“/cgi-bin/phf”的字符串,而没有发现其背后所代表的意义。 3.将整个request在同一个TCP Session中切割成多个仅内含几个字符的小Packet,网络入侵检测若没将整个TCP session重建,则入侵检测系统将仅能看到类似“GET”、“/cg”、“i”、“-bin”、“/phf”的个别Packet,而不能发现重组回来的结果,因为它仅单纯地检查个别Packet是否出现类似攻击的字符串。类似的规避方式还有IP Fragmentation Overlap、TCP Overlap 等各种较复杂的欺瞒手法。 二、“猎杀”及重调安全政策的漏洞 所谓“猎杀”,就是在服务器中设定一个陷阱,如有意打开一个端口,用检测系统对其进行24小时的严密盯防,当黑客尝试通过该端口入侵时,检测系统就会及时地将其封锁。网络入侵检测系统的“猎杀”及重新调整防火墙安全政策设置功能,虽然能即时阻断攻击动作,但这种阻断动作仅能适用TCP Session,要完全限制,就必须依赖重新调整防火墙安全政策设置的功能,同时也可能造成另一种反效果:即时阻断的动作会让攻击者发现IDS的存在,攻击者通常会寻找规避方式,或转向对IDS进行攻域网中的其他工作站就无法使用ping命令来测试出Vista工作站的网络连通性了,那样的话Vista工作站系统的安全性在一定程度上就能得到保证了。 3、禁止访问公用文件夹 为了方便局域网工作站相互之间能够共享交流文件,Vista工作站系统特意为我们提供了公用文件夹功能,而且该公用文件夹在默认状态下自动处于共享状态;也就是说,即使我们没有将工作站中的任何文件夹设置成共享状态,局域网中的其他工作站也能通过网上邻居窗口访问到Vista工作站中的一个名为“public”的共享文件夹。为了防止局域网中的非法用户随意偷窥“public”共享文件夹中的内容,我们可以在Vista工作站系统中进行如下设置,来关闭“public”共享文件夹的共享状态,下面就是具体的关闭步骤: 首先以系统管理员身份登录进Vista工作站系统,并在该系统桌面中用鼠标右键单击“网络”图标,从弹出的快捷菜单中执行“属性”命令,打开本地工作站的“共享和发现”设置界面; 其次找到该设置界面中的公用文件夹选项,并用鼠标单击该选项右侧区域的向下箭头按钮,在其后弹出的设置界面中选中“禁用共享”项目,同时单击一下“应用”按钮,最后重新将工作站系统启动一下,这么一来其他工作站就无法访问到Vista工作站系统中的“public”共享文件夹了。
|
|
热门文章
|
本周
|
本月
|
全部
|