规避技巧
攻击者利用多种 IDS/IPS 规避技术。应该熟悉以下技术以缓解措施:
· 地址欺骗:IDS/IPS 通常会将某些IP 地址识别为攻击源。这可能是由于之前的攻击或仅仅通过订阅威胁情报新闻源造成的。攻击者可以欺骗另一个 IP 地址或使用代理服务器来避免 IDS/IPS 识别其 IP 地址。· 模糊处理:可以通过模糊攻击来规避 IDS/IPS。这通常用于 SQL 注入和跨站点脚本等 Web 攻击。攻击代码经过编码,其内容不会立即显而易见。技术可能包括 Unicode、加密和 ASCII shellcode。例如,攻击者可能通过 Unicode 对数据进行编码,以避免 IDS/IPS 上的模式匹配和签名匹配。这就是人们如何隐藏来自 IDS/IPS 的 SQL 注入。· 会话拼接:会话拼接是通过在多个数据包上传递有效负载来完成的。这与数据包分片密切相关。该有效负载可以通过不同的方式传递,并分布在一段时间内。这实际上是一种碎片化形式。由于有效负载被分解为许多数据包,因此许多 IDS 将无法检测其真正目的。IP 片段通常按发送顺序到达,但并非必须如此。通过将数据包发送出通过排序和使用片段 ID,攻击者可以使重组变得更加复杂。如果 IDS/IPS 无法将所有片段保留在内存中以便重新组装,则攻击者可以逃避 IDS/IPS。· 隧道:如果攻击者可以使用 VPN 或HTTPS 建立进入您网络的隧道,那么 IDS/IPS 将无法看到隧道中的流量。这就是限制传入 VPN 和 HTTPS 流量的使用很重要的原因。事实上,任何加密流量的方法都可以用来躲避 IDS/IPS。显然,加密流量是一种常见且必要的安全措施;然而,加密的传入流量也可能是避免 IDS/IPS 的一种方法。
还没有评论,来说两句吧...