I dette papir, at sårbarheden over for intrusion detection system finde ud af hackere praksis. Når det er installeret, netværk intrusion detection systemer, netværk intrusion detection system vises for dig at analysere online hackerangreb, og du kan bruge disken funktion af intrusion detection systemer, real-time online jagt eller blokere denne art. Du kan også indstille op med firewall, intrusion detection systemer med den dynamiske ændringer for dig automatisk adgang til firewall regler, nægtede at følge op fra denne ip-line action! "Denne smukke" fremtid "kan være en række af indbrud detektionssystemer udbyder Den sædvanlige salgsmetoder, generelle virksomhed eller organisation til at etablere deres egen intrusion detection system vil have denne ønskede formål. Faktisk kan intrusion detection systemer har meget gode overvågning og intrusion detection kapaciteter, kan også være en virksomhed eller organisation yde god sikkerhed bistand. Men, da den måde tyven vil fortsætte med udformningen af lock "update" det samme, med fremkomsten af intrusion detection systemer, og mange netværk intrusion detection systemer til omgåelse også vil fortsætte med at "opgradere" . Nu har hacker intrusion detection systemer er blevet gjort til en mere fuldstændig indtrængen metoder. Nu vil vi fokusere på intrusion detection system, sårbarhed over for hackere måde at vide.
For det første identificere muligheder for konstruktionsfejl
1. Sammenligning af de kendte metoder til angreb, og intrusion detection system til at overvåge fremkomsten af en streng i nettet, er, at de fleste netværk intrusion detection system vil tage en måde. For eksempel er i de tidlige apache webserver version af PHF cgi program ofte brugt af hackere til at læse forbi password på filserveren system (/ etc / password), eller køre vilkårlig kode på serveren for et af de værktøjer. Når hackere bruger dette værktøj, i sin url anmodning i anmodning vil mest ligner "få / cgi-bin/phf ?....." streng. Mange intrusion detection systemer vil derfor direkte sammenligning af alle de url anmodningen, hvis der / cgi-bin/phf snor, at bedømme, om der PHF angrebene.
2. Denne undersøgelsesmetode, selv om de anvendes til en række af intrusion detection systemer, men de forskellige intrusion detection systemer på grund af forskellige design, i form af kontrast vil være anderledes. Nogle intrusion detection systemer kan kun være en enkel streng sammenligning, mens andre er i stand til at foretage en detaljeret tcp session genopbygning og kontrol. Disse to design metoder, en gennemgang af resultater, en erkendelse evne er taget i betragtning. Angribere under et angreb, intrusion detection system for at undgå at blive fundet i deres adfærd, kan der træffes for at undgå praksis for at skjule sine hensigter. For eksempel: en hacker ville url kodede tegn i de 6% xx i værdien af årvågenhed på dette tidspunkt "cgi-bin" bliver til "% 63% 67% 69% 2d% 62% 69% 6e", en simpel string sammenligning vil ignorere værdien af denne perlerække af kode forstand. En hacker kan også katalog karakteristika struktur, skjuler sine sande hensigter, for eksempel: I den mappestruktur ,"./" katalog ,"../" repræsentanter på vegne af den øverste mappe, kan webserveren være "/ cgi-bin /././ PHF ","// cgi-bin / / PHF "," / cgi-bin/blah/../phf? "løser alle disse url anmodning" / cgi-bin/phf ", men blot Intrusion Detection System kan kun afgøre, om en sådan anmodning indeholder "/ cgi-bin/phf" streng, men fandt ikke betydningen bag.
3. Hele anmodning i samme tcp session indeholder kun et par tegn mere end skære en lille pakke, netværk intrusion detection, hvis ikke hele tcp session genopbygningen vil intrusion detection system kun se noget lignende til "få", "/ cg", "i", "-bin", "/ PHF" individuel pakke, men kan ikke finde resultaterne af omstruktureringen for at komme tilbage, fordi det er nemt at kontrollere den enkelte pakke, hvis der er en stribe af lignende angreb. Undgå en lignende måde er der ip opsplitning overlapning, tcp overlap bedrag og andre mere komplekse teknikker.
For det andet, "jagt" og nulstille huller i sikkerhedspolitik
Den såkaldte "jagt" er i serveren, der er en fælde, der har til hensigt at åbne en port, med påvisning system for 24 timer af sin meget nøje, når hackere forsøger at invadere via havnen, vil detektorsystemet rettidig blokade. Netværk intrusion detection system "jagt" og re-justere firewall sikkerhedspolitik indstilling funktioner, selv om handlingen umiddelbart blokere angrebet, men denne aktion gælder kun at blokere tcp session, der skal begrænses fuldstændigt, skal de stole på igen at finjustere de firewall sikkerhedspolitik sæt funktioner, men også kan forårsage andre bivirkninger: real-time blokering aktionen tillade en hacker at opdage eksistensen af ids, vil angriberen normalt finde måder at undgå eller gå videre til angreb ids. Re-sætte firewall sikkerhedspolitik, hvis indstillet korrekt, kan også forårsage en hacker at gøre denial of service (denial of service) angreb værktøjer: godt design, god net intrusion detection tjekker, om mindre, kan en hacker maskerade som Andre kilder til den normale ip angreb handling, intrusion detection system til begrænsning af kilden til udslæt ip, vil føre til legitime brugere, der angreb, fordi angriberen ikke kan bruge. På vej til at identificere de design, eller såkaldte "jagt" og re-indstille firewall sikkerhedspolitik indstilling funktioner har sine fordele og ulemper. Intrusion Detection System kan læse mere om anerkendelse mode, eller tilpasse deres anerkendelse praksis vil bidrage til at forbedre nøjagtigheden af intrusion detection system operation. På "jagt" og re-justere firewall sikkerhedspolitik indstilling funktioner og værktøjer, bør nøje vurdere fordele og tilsvarende tab for effektivt at udføre de opgaver, netværket indbrudsdetektering system.