Главная » 2017»Июль»11 » методы уклонения системы обнаружения вторжений
20:20
методы уклонения системы обнаружения вторжений
Payload запутывания
IDS можно обойти путем запутывания или кодирующие полезную нагрузку атаки таким образом, что целевой компьютер будет обратным, но IDS не будет. Таким образом, злоумышленник может использовать конечный узел без оповещения IDS.
Кодирование и шифрование
Протоколы уровня приложений , такие как HTTP позволяют для нескольких кодировок данных , которые интерпретируются как и то же значение. Например, строка "CGI-BIN" в URL может быть закодирован как "% 63% 67% 69% 2d% 62% 69% 6e" (то есть, в шестнадцатеричном формате). Веб - сервер будет рассматривать их как ту же строку и действовать на них соответствующим образом . IDS должны быть в курсе всех возможных кодировок , что ее конечные узлы принимают для того , чтобы соответствовать сетевой трафик к известным вредоносным подписей.
Атаки на шифрованные протоколы , такие как HTTPS не может быть прочитан с помощью IDS , если IDS не имеет копию секретного ключа , используемого сервером для шифрования связи. Система IDS не будет в состоянии соответствовать зашифрованному трафику на подпись , если он не учитывает это.
Полиморфизм
Подпись на основе IDS часто ищут общие закономерности атаки , чтобы соответствовать злонамеренный трафик подписей. Для того, чтобы обнаружить переполнение буфера , атаки, обнаружение вторжения могут искать доказательства NOP слайдов , которые используются , чтобы ослабить защиту адресного пространства рандомизации .
Для того, чтобы запутать свои атаки, злоумышленники могут использовать полиморфный шеллкод для создания уникальных шаблонов атак. Этот способ обычно включает в себя кодирующий полезную нагрузку каким - либо образом (например, исключающее ИЛИ -ки каждый байт с 0x95), а затем поместить декодер в передней части полезной нагрузки перед его отправкой. Когда цель выполняет код, он запускает декодер , который переписывает полезную нагрузку в исходную форму , которая затем выполняет цель.
Полиморфные атаки не имеют ни одного обнаруживаемой подписи, что делают их очень трудно на основе сигнатур IDS, и даже некоторые аномалии на основе IDS, чтобы обнаружить. Шикат га най ( «это не может быть оказано помощью») является популярным полиморфным кодер в Metasploit рамке используется для преобразования вредоносного шеллкода в труднодоступном обнаружить полиморфный шеллкод с помощью XOR аддитивной обратной связи.
