一、识别方式的设计漏洞
1.对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串,是大部分网络入侵检测系统都会采取的一种方式。例如,在早期Apache Web服务器版本上的phf CGI程序,就是过去常被黑客用来读取服务器系统上的密码文件(/etc/passWord),或让服务器为其执行任意指令的工具之一。当黑客利用这种工具时,在其URL request请求中多数就会出现类似“GET /cgi-bin/phf?.....的字符串。因此许多入侵检测系统就会直接对比所有的URL request 中是否出现/cgi-bin/phf 的字符串,以此判断是否出现phf 的攻击行为。
2.这样的检查方式,虽然适用于各种不同的入侵检测系统,但那些不同的入侵检测系统,因设计思想不同,采用的对比方式也会有所不同。有的入侵检测系统仅能进行单纯的字符串对比,有的则能进行详细的TCP Session重建及检查工作。这两种设计方式,一个考虑了效能,一个则考虑了识别能力。攻击者在进行攻击时,为避免被入侵检测系统发现其行为,可能会采取一些规避手法,以隐藏其意图。例如:攻击者会将URL中的字符编码成%XX 的警惕6进值,此时“cgi-bin就会变成“%63%67%69%2d%62%69%6e,单纯的字符串对比就会忽略掉这串编码值内部代表的意义。攻击者也可以通过目录结构的特性,隐藏其真正的意图,例如:在目录结构中,“./代表本目录,“../代表上层目录,Web服务器 可能会将“/cgi-bin/././phf、“//cgi-bin//phf、“/cgi-bin/blah/../phf?这些URL request均解析成“/cgi-bin/phf,但单纯的入侵检测系统可能只会判断这些request是否包含“/cgi-bin/phf的字符串,而没有发现其背后所代表的意义。
3.将整个request在同一个TCP Session中切割成多个仅内含几个字符的小Packet,网络入侵检测若没将整个TCP session重建,则入侵检测系统将仅能看到类似“GET、“/cg、“i、“-bin、“/phf的个别Packet,而不能发现重组回来的结果,因为它仅单纯地检查个别Packet是否出现类似攻击的字符串。类似的规避方式还有IP Fragmentation Overlap、TCP Overlap 等各种较复杂的欺瞒手法。
二、“猎杀及重调安全政策的漏洞
所谓“猎杀,就是在服务器中设定一个陷阱,如有意打开一个端口,用检测系统对其进行24小时的严密盯防,当黑客尝试通过该端口入侵时,检测系统就会及时地将其封锁。网络入侵检测系统的“猎杀及重新调整防火墙安全政策设置功能,虽然能即时阻断攻击动作,但这种阻断动作仅能适用TCP Session,要完全限制,就必须依赖重新调整防火墙安全政策设置的功能,同时也可能造成另一种反效果:即时阻断的动作会让攻击者发现IDS的存在,攻击者通常会寻找规避方式,或转向对IDS进行攻击。重新设置防火墙的安全政策,若设置不当,也可能造成被攻击者用来做阻断服务(Denial of Service)攻击的工具:经过适当的设计,若网络入侵检测的检查不足,攻击者可以伪装成其他的正常IP来源进行攻击动作,入侵检测系统若贸然限制这些来源的IP,将会导致那些合法用户因攻击者的攻击而无法使用。论是识别方式的设计,还是所谓的“猎杀及重新设置防火墙安全政策的设置功能,都有其利弊。能够实地了解入侵检测系统的识别方式,或进行其识别手法的调整,将有助于提高入侵检测系统运作的正确性。对“猎杀及重新调整防火墙安全政策设置功能工具的使用,则应仔细评估其效益与相应的损失,这样才能有效地发挥网络入侵检测系统的功能。
标签: 浏览器