In diesem Papier, um die Anfälligkeit für Intrusion Detection System herauszufinden Hackern Praktiken. Einmal installiert, Netzwerk-Intrusion-Detection-Systeme, Network Intrusion Detection System erscheint für Sie in der Online-Hacker-Angriffe zu analysieren, und Sie können die Zähler-Funktion von Intrusion Detection Systemen, in Echtzeit Online-Jagd-oder Block dieser Art zu verwenden. Sie können auch mit der Firewall, Intrusion Detection Systemen durch die dynamischen Änderungen für Sie automatisch Zugriff auf die Firewall-Regeln, weigerte sich, Follow-up von dieser IP-line Aktion! "Dieses schöne" Outlook "kann, dass viele Intrusion Detection Systeme Anbieter werden Die übliche Marketing-Praktiken, allgemeine Unternehmens oder einer Organisation, ihre eigenen Intrusion Detection System wird dieses angestrebte Ziel zu etablieren. In der Tat, Intrusion Detection Systeme können sehr gute Überwachung und Intrusion-Detection-Funktionen, kann auch ein Unternehmen oder eine Organisation sein gute Sicherheit Hilfe zu leisten. Da jedoch die Art und Weise der Dieb lock Design zusammen mit dem kontinuierlichen "Update" 一样, mit dem Aufkommen von Intrusion Detection Systemen, konzentrieren sie sich auf das Netzwerk Intrusion Detection System Steuerhinterziehung Techniken werdet ihr verfolgt worden, "Sheng Ji" . Nun, Hacker-Intrusion-Detection-Systeme sind für eine vollständige Intrusion Methoden gemacht worden. Jetzt werden wir auf Intrusion-Detection-System zu konzentrieren, die Anfälligkeit für Hacker Weg zu wissen.
Erstens, die Konstruktionsfehler Kennzeichnungsmethode
1. Vergleich der bekannten Methoden des Angriffs und Intrusion Detection System, das Entstehen einer Zeichenkette in der Web-Monitor, ist, dass die meisten Netzwerk-Intrusion-Detection-System wird ein Weg zu nehmen. Zum Beispiel ist in den frühen Apache Webserver Version der CGI-Programm phf oft von Hackern verwendet, um die Vergangenheit vergessen auf die Datei-Server-System (/ etc / password) oder beliebigen Code auf dem Server für eines der Instrumente zu lesen. Wenn Hacker dieses Tool verwenden, in seiner URL-Anfrage in dem Antrag wird am ähnlichsten "GET / cgi-bin/phf ?....." String. Viele Intrusion Detection-Systeme werden daher den direkten Vergleich aller URL-Anforderung, wenn es / cgi-bin/phf string, zu beurteilen, ob es phf den Anschlägen.
2. Diese Prüfmethode, obwohl für eine Vielzahl von Intrusion-Detection-Systeme, sondern die verschiedenen Intrusion Detection Systeme, wegen der unterschiedlichen Design, im Wege der Kontrast wird anders sein. Einige Intrusion Detection Systeme können nur einen einfachen String-Vergleich werden, während andere in der Lage sind, eine detaillierte Inspektion des Wiederaufbaus und der TCP-Sitzung durchzuführen. Diese beiden Design-Methoden, die Betrachtung der Leistung gilt als Anerkennung. Angreifer bei einem Angriff, Intrusion Detection System zu vermeiden, dass in ihrem Verhalten gefunden, kann getroffen werden, um Verhaltensweisen zu vermeiden, um seine Absichten zu verstecken. Zum Beispiel: Der Angreifer wird das Zeichen in der URL codieren in% xx 6 in den Wert der Wachsamkeit in dieser Zeit "cgi-bin" wird "% 63% 67% 69% 2d% 62% 69% 6e", eine einfache String-Vergleich wird der Wert dieser Reihe des Codes im Sinne ignorieren. Ein Angreifer kann auch Katalog der Merkmale des Bauwerks, seine wahren Absichten verbergen, zum Beispiel: in der Verzeichnis-Struktur ,"./" Katalog ,"../" Vertreter im Namen der oberen Verzeichnis, können Web-Server werden "/ cgi-bin /././ phf ","// cgi-bin / / phf "," / cgi-bin/blah/../phf? "löst alle diese URL-Anforderung" / cgi-bin/phf ", sondern einfach Intrusion Detection System kann nur feststellen, ob ein solcher Antrag der "/ cgi-bin/phf" Zeichenfolge enthält, aber nicht finden, den Sinn hinter der.
3. Der gesamte Antrag in der gleichen TCP-Session enthält nur ein paar Zeichen mehr als schneiden Sie ein kleines Päckchen, Network Intrusion Detection, wenn nicht die gesamte TCP-Sitzung Wiederaufbau, dem Intrusion Detection System wird nur etwas Ähnliches wie "get", "/ cg", "i", "-bin", "/ phf" einzelne Paket, kann aber nicht finden, die Ergebnisse der Umstrukturierung wieder kommen, weil es einfacher ist, die einzelnen Paket nur, wenn es eine Reihe von ähnlichen Angriffen zu überprüfen. Vermeiden Sie einen ähnlichen Weg dorthin IP-Fragmentierung überschneiden, überlappen TCP Täuschung und andere komplexere Techniken.
Zweitens, die "Jagd" und das Zurücksetzen der Lücken in der Sicherheitspolitik
Die sogenannte "Jagd" ist in der Server eine Falle, die beabsichtigen, einen Port zu öffnen, mit dem Nachweis-System für 24 Stunden nach ihrem sehr aufmerksam zu, wenn Hacker über den Hafen einzudringen versuchen, wird das Detektionssystem rechtzeitig Blockade. Network Intrusion Detection System "Jagd" und Neuausrichtung der Firewall-Sicherheitsrichtlinie Funktionen, obwohl die Aktion sofort zu sperren den Angriff, aber diese Aktion gilt nur für TCP-Sitzung zu blockieren, um völlig eingeschränkt werden, müssen sie auf erneute Einstellung der Firewall-Sicherheitsrichtlinien berufen Reihe von Funktionen, kann aber auch in anderen Gegen-Effekt führen: sofort blockiert die Wirkung ids einem Angreifer erlauben, die Existenz eines Angreifers zu entdecken in der Regel wird nach Möglichkeiten suchen, um zu vermeiden oder zu verschieben, um auf ids anzugreifen. Re-Firewall Sicherheitspolitik gesetzt, wenn sie richtig eingestellt kann auch dazu führen, ein Angreifer Denial of Service zu tun (Denial of Service) Angriff Tools: richtiges Design, überprüfen Sie, ob das Fehlen von Network Intrusion Detection, kann ein Angreifer tarnen sich als Andere Quellen für die normale IP-Angriff Aktion, Intrusion Detection System, um die Quelle des Ausschlags ip zu begrenzen, wird für den rechtmäßigen Benutzer, da die Angreifer nicht nutzen können Angriffen führen. Ist es, Möglichkeiten der Gestaltung, oder so genannte identifizieren "Jagd" und ändern Sie den Firewall-Sicherheitsrichtlinie Funktionen, hat seine Vorteile und Nachteile. Intrusion Detection System erfahren Sie mehr über die Anerkennung Modus, oder passen ihre Anerkennung Praktiken, wird dazu beitragen, die Genauigkeit der Intrusion Detection System den Betrieb zu verbessern. Auf der "Jagd" und Neuausrichtung der Sicherheitspolitik Firewall-Einstellung Funktionen und Werkzeuge sollten sorgfältig prüfen, die Vorteile und den entsprechenden Verlust, um effektiv die Funktionen von Network Intrusion Detection System.