Ce système de détection d'intrusion pour les vulnérabilités aux pirates moyen de savoir. Une fois installé, les systèmes de détection d'intrusion réseau, système de détection d'intrusion réseau apparaîtra pour vous d'analyser les attaques de pirates en ligne, et vous pouvez utiliser la fonction de compteur de systèmes de détection d'intrusion, de la chasse en ligne en temps réel ou de bloquer ce genre. Vous pouvez également configurer le pare-feu, systèmes de détection d'intrusion par des changements dynamiques pour vous automatiquement l'accès aux règles de pare-feu, refusé d'assurer le suivi de cette action ip-ligne! "Ce bel avenir" "peut être un certain nombre de systèmes de détection d'intrusion fournisseur Les pratiques commerciales usuelles, les affaires générales ou de l'organisation à mettre en place leur propre système de détection d'intrusion auront ce même objectif. En effet, les systèmes de détection d'intrusion peut avoir une surveillance très bonne et les capacités de détection d'intrusion, peut aussi être une entreprise ou organisation fournir une assistance une bonne sécurité. Mais, comme la façon dont le voleur se poursuivra avec la conception de la serrure "actualiser" les mêmes, avec l'émergence de systèmes de détection d'intrusion, et de nombreux systèmes de détection d'intrusion pour les pratiques de contournement continuera également de "upgrade" . Maintenant, des systèmes de détection d'intrusion pirate ont été faites pour une intrusion des méthodes plus complètes. Maintenant nous allons nous concentrer sur le système de détection d'intrusion, la vulnérabilité aux pirates moyen de savoir.
Tout d'abord, identifier les moyens de défauts de conception
1. Comparaison des méthodes connues de l'attaque et le système de détection d'intrusion pour surveiller l'émergence d'une chaîne dans le web, c'est que le système de détection d'intrusion les plus aura un sens. Par exemple, dans la version du serveur Web Apache début du programme FSP CGI est souvent utilisée par les pirates pour lire passé le mot de passe sur le serveur de fichiers système (/ etc / mot de passe), ou exécuter du code arbitraire sur le serveur pour l'un des outils. Lorsque les pirates d'utiliser cet outil, dans sa demande d'URL dans la demande sera la plus semblable "GET / cgi-bin/phf chaîne ?.....". De nombreux systèmes de détection d'intrusion sera donc de comparaison directe de toutes les URL demande s'il n'y chaîne cgi-bin/phf /, de déterminer s'il ya des attentats du FSP.
2. Ce moyen de vérifier, même si, pour une variété de Bu Tong système de détection d'intrusion, mais ceux des différents systèmes de détection d'intrusion, différentes manières de penser la conception factorielle, en utilisant la méthode comparative également être différents. Certains systèmes de détection d'intrusion ne peut être qu'une simple comparaison de chaînes, tandis que d'autres sont en mesure de procéder à une reconstruction détaillée session TCP et d'inspection. Ces deux méthodes de conception, un examen de la performance, une capacité de reconnaissance est prise en compte. Les pirates lors d'une attaque, le système de détection d'intrusion pour éviter d'être trouvé dans leur comportement, peuvent être prises pour éviter les pratiques afin de cacher ses intentions. Par exemple: l'attaquant va coder les caractères dans l'URL en 6 xx% sur la valeur de vigilance en ce moment "cgi-bin" devient "% 63% 67% 69% 2d% 62% 69% 6e", une simple comparaison de chaînes ignore la valeur de cette chaîne de code représente l'intérieur. Un attaquant peut aussi cataloguer les caractéristiques de la structure, en cachant ses véritables intentions, par exemple: dans le répertoire des représentants structure ,"./" ,"../" catalogue le nom du répertoire supérieur, serveur web peut être "/ cgi-bin /././ FSP ","// cgi-bin / "FSP /" / cgi-bin/blah/../phf? "résout tous ces url demande" cgi-bin/phf /, mais simplement Intrusion Detection System ne peut déterminer si cette demande contient les "/ cgi-bin/phf chaîne", mais n'a pas trouvé le sens de l'.
3. La demande dans son ensemble dans la même session TCP ne contient que quelques caractères plus que de couper un petit paquet, de détection d'intrusion réseau, sinon la reconstruction tcp intégralité de la session, le système de détection d'intrusion ne verrez quelque chose de similaire pour «obtenir», "" / "cg," i ","-bin, / FSP "paquet individuel, mais ne trouve pas les résultats de la restructuration de revenir, tout simplement parce qu'elle ne vérifie si la chaîne de paquets individuels d'attaques similaires. Évitez de la même manière il ya fragmentation IP se chevauchent, se recoupent tcp tromperie et d'autres techniques plus complexes.
Deuxièmement, la «chasse» et remettre en place les lacunes en matière de politique de sécurité
Le soi-disant «chasse» est le serveur de tendre un piège, avec l'intention d'ouvrir un port, avec le système de détection de 24 heures de son attention très proche, quand les pirates tentent d'envahir par le port, le système de détection sera opportun blocus. système de réseau de détection d'intrusion "chasse" et de réajuster la politique de sécurité pare-feu réglage des fonctions, bien que l'action de bloquer immédiatement l'attaque, mais cette action ne s'applique que pour bloquer session TCP, pour être totalement restreint, ils doivent compter sur le ré-ajuster la politique de sécurité pare-feu ensemble de fonctionnalités, mais peut aussi entraîner d'autres effets indésirables: en temps réel bloquant l'action de permettre à un attaquant de découvrir l'existence d'identifiants, l'attaquant cherchent habituellement à éviter, ou le déplacement de l'ids attaques. outils d'attaque Re-définir la politique de sécurité pare-feu, si bien réglé, peut aussi causer un attaquant de faire un déni de service (Denial of Service): une conception appropriée, vérifier si l'absence de détection d'intrusion réseau, un attaquant peut passer pour Autres sources de l'action d'attaque IP normal, le système de détection d'intrusion pour limiter la source de la propriété intellectuelle des éruptions cutanées, permettra aux utilisateurs légitimes qui attaquent parce que l'attaquant ne peut pas utiliser. Sur la façon d'identifier la conception, ou soi-disant «chasse» et re-définir la stratégie de sécurité pare-feu mise en fonctions, a ses avantages et ses inconvénients. Intrusion Detection System peut en apprendre davantage sur le mode de reconnaissance, ou d'adapter leurs pratiques de reconnaissance, contribuera à améliorer la précision du fonctionnement du système de détection d'intrusion. Sur la «chasse» et de réajuster la politique de sécurité pare-feu réglage des fonctions et des outils, doivent évaluer soigneusement les avantages et la perte correspondante pour exécuter efficacement les fonctions du système de détection d'intrusion réseau.