En este trabajo, la vulnerabilidad del sistema de detección de intrusos para descubrir las prácticas piratas informáticos. Una vez instalado, la red de sistemas de detección de intrusión, sistema de detección de intrusiones en la red aparecerá para que usted pueda analizar los ataques de piratas informáticos en línea, y usted puede utilizar la función de contador de los sistemas de detección de intrusos en tiempo real de caza en línea o el bloqueo de los mismos. También puede establecer con el servidor de seguridad, sistema de detección de intrusos de forma automática por los cambios dinámicos que las reglas de acceso a su servidor de seguridad, la negativa del seguimiento de esta acción en línea ip! "Esta hermosa" futuro "puede ser un número de sistemas de detección de intrusos proveedor Las prácticas normales del mercado, negocios en general o de la organización para establecer su propio sistema de detección de intrusos tendrá este propósito. En efecto, los sistemas de detección de intrusos pueden tener una vigilancia muy buena y las capacidades de detección de intrusos, también puede ser una empresa u organización prestando asistencia de seguridad. Pero, como la forma en que el ladrón continuará con el diseño de la cerradura "actualizar" el mismo, con la aparición de sistemas de detección de intrusos, y muchos sistemas de detección de intrusos para las prácticas de elusión también seguirá "actualización" . Ahora, los sistemas de detección de intrusiones de hackers se han hecho para una intrusión de los métodos más completa. Ahora nos centraremos en el sistema de detección de intrusos, la vulnerabilidad a los piratas informáticos manera de saber.
Uno de los medios de identificación para la falla de diseño
1. Comparación de los métodos conocidos de ataque y el sistema de detección de intrusos para vigilar la aparición de una cadena en la web, es que la mayoría de intrusiones de red del sistema de detección se llevará a un camino. Por ejemplo, en la versión del servidor Apache Web a principios del programa phf cgi se utiliza a menudo por los hackers para leer más allá de la contraseña en el sistema servidor de archivos (/ etc / password) o ejecutar código arbitrario en el servidor para una de las herramientas. Cuando los hackers utilizando esta herramienta, en su solicitud url en la solicitud lo más similares "GET / cgi-bin/phf cadena ?.....". Muchos sistemas de detección de intrusos se así comparar directa de todas las instancias url si / cadena cgi-bin/phf, para juzgar si existe phf los ataques.
2. Este método de inspección, a pesar de aplicarse a una variedad de diferentes sistemas de detección de intrusos, pero los de los diferentes sistemas de detección de intrusos, diferentes maneras de pensar el diseño factorial, utilizando la información financiera comparativa será diferente. Algunos sistemas de detección de intrusos sólo puede ser una simple comparación de cadenas, mientras que otros son capaces de llevar a cabo una reconstrucción detallada de sesión TCP y la inspección. Estos dos métodos de diseño, un examen del rendimiento, una capacidad de reconocimiento se tiene en cuenta. Los atacantes durante un ataque, sistema de detección de intrusos para evitar ser encontrado en su comportamiento, se pueden tomar para evitar las prácticas con el fin de ocultar sus intenciones. Por ejemplo: el atacante codificar los caracteres en la URL en xx 6% en el valor de la vigilancia en este momento "cgi-bin" se convierte en "% 63% 67% 69% 2D% 62% 69% 6e", un simple comparación de cadenas de ignorar el valor de esta cadena de código en el sentido. Un atacante también puede ser las características de la estructura de directorios, para ocultar sus verdaderas intenciones, por ejemplo: en la estructura de directorios de representantes ,"./" ,"../" catálogo el nombre del directorio padre, servidor web puede ser "/ cgi-bin /././ phf ","// cgi-bin / / "PHF" / cgi-bin/blah/../phf? "resuelve todos estos solicitud de URL" / "cgi-bin/phf, sino simplemente Intrusion Detection System sólo puede determinar si dicha solicitud contiene el comando "/ cgi-bin/phf cadena", pero no encontró el sentido de la.
3. La solicitud en su totalidad en el mismo período de sesiones TCP contiene sólo unos pocos caracteres más de cortar un pequeño paquete, detección de intrusos de red, si no de reconstruir toda la sesión TCP, el sistema de detección de intrusos sólo verá algo similar a "obtener", "/" cg "i", "contenedor de basura", "/ phf" paquete individual, pero no puede encontrar los resultados de la reestructuración de volver, porque es simple, para comprobar el paquete individual sólo si hay una cadena de ataques similares. Evitar de manera similar existe ip fragmentación se solapan, se superponen tcp engaño y otras técnicas más complejas.
En segundo lugar, "la caza" y reactivación, las lagunas en la política de seguridad
La llamada "caza" es una trampa tendida en el servidor, que tiene la intención de abrir un puerto, con el sistema de detección de 24 horas de su atención muy cerca, cuando los hackers intentan invadir a través del puerto, el sistema de detección será oportunamente bloqueo. intrusiones en la red del sistema de detección de "caza" y volver a ajustar la política de seguridad firewall configurar las funciones, aunque la acción de inmediato bloquear el ataque, pero la acción sólo se aplica a bloques sesión TCP, a los límites completo, debemos confiar en volver a ajustar la política de seguridad cortafuegos conjunto de características, pero también puede causar otros efectos adversos: en tiempo real bloqueando la acción de permitir a un atacante para descubrir la existencia de identificaciones, el atacante suele encontrar maneras de evitar o pasar a atacar a los identificadores. Re-establecer la política de seguridad cortafuegos, si se define correctamente, también puede causar un atacante hacer denegación de servicio (Denial of Service) herramientas de ataque: un diseño adecuado, comprobar si la falta de detección de intrusos de red, un atacante puede hacerse pasar por Otras fuentes de la acción ip ataque normal, sistema de detección de intrusos para limitar la fuente de la ip erupción, llevará a los usuarios legítimos que ataque porque el atacante no puede utilizar. En el camino para determinar el diseño, o la llamada "caza" y volver a establecer la política de seguridad firewall configurar las funciones, tiene sus ventajas y desventajas. Intrusion Detection System puede aprender más sobre el modo de reconocimiento, o ajustar sus prácticas de reconocimiento, contribuirá a mejorar la exactitud del funcionamiento del sistema de detección de intrusos. En la "caza" y volver a ajustar la política de seguridad cortafuegos y herramientas de configuración de funciones, deben evaluar cuidadosamente los beneficios y la pérdida correspondiente a fin de desempeñar eficazmente las funciones del sistema de detección de intrusiones de red.