In questo lavoro, la vulnerabilità al sistema di intrusion detection per scoprire le pratiche hacker. Una volta installato, rete di sistemi di rilevamento delle intrusioni, rilevamento delle intrusioni sistema di rete apparirà per voi ad analizzare gli attacchi degli hacker online, ed è possibile utilizzare la funzione di contatore di sistemi di rilevamento delle intrusioni, la caccia online in tempo reale o bloccare questo tipo. È inoltre possibile impostare con il firewall, sistemi di rilevamento delle intrusioni da parte dei cambiamenti dinamici in modo automatico l'accesso delle regole del firewall, si rifiutò di follow-up da questa azione ip-line! "Questa bella" futuro "potrebbe essere un certo numero di sistemi di rilevamento delle intrusioni provider Le pratiche di marketing di consueto, affari generali o organizzazione di costituire il proprio sistema di rilevamento delle intrusioni avrà questo scopo desiderato. Infatti, i sistemi di intrusion detection può avere sorveglianza molto buona e le capacità di rilevamento delle intrusioni, può anche essere una azienda o organizzazione fornire assistenza buona sicurezza. Ma, come il modo in cui il ladro continuerà con il disegno della serratura "aggiornare" lo stesso, con l'emergere di sistemi di rilevamento delle intrusioni, e molti sistemi di rilevamento delle intrusioni di rete di pratiche di elusione, inoltre continuerà a migliorare " . Ora, hacker i sistemi di rilevamento delle intrusioni sono state fatte per un intrusione metodi più completa. Ora ci concentreremo sul sistema di intrusion detection, la vulnerabilità agli hacker modo di saperlo.
In primo luogo, individuare i modi di difetti di progettazione
1. Confronto tra i metodi conosciuti di attacco e di sistema di rilevamento delle intrusioni per monitorare l'emergere di una stringa nel web, è più che intrusione sistema di reti di rilevamento sarà prendere una strada. Ad esempio, nei primi anni del server Web Apache versione del programma di PHF cgi viene spesso utilizzato dagli hacker per leggere oltre la password sul sistema di server di file (/ etc / password), o eseguire codice arbitrario sul server per uno degli strumenti. Quando gli hacker utilizzano questo strumento, nella sua richiesta URL nella richiesta sarà molto simile "GET / cgi-bin/phf stringa ?.....". Molti sistemi di rilevamento delle intrusioni sarà dunque il confronto diretto di tutte le url richiesta se vi / stringa cgi-bin/phf, a giudicare se ci PHF gli attacchi.
2. Questo metodo di controllo, anche se si applica ad una varietà di sistemi di rilevamento delle intrusioni, ma quelli di diversi sistemi di rilevamento delle intrusioni, a causa del disegno differente, per contrasto sarà diverso. Alcuni sistemi di rilevazione delle intrusioni non può che essere un confronto di stringhe semplici, altri sono in grado while to conduct una dettagliata ricostruzione della sessione TCP e di ispezione. Questi due metodi di progettazione, una considerazione del rendimento è considerato un riconoscimento. Gli aggressori durante un attacco, sistema di rilevamento delle intrusioni per evitare di essere trovati nei loro comportamenti, possono essere adottate per evitare pratiche al fine di nascondere le sue intenzioni. Per esempio: l'aggressore codificare i caratteri della URL in xx 6% nel valore di vigilanza in questo momento "cgi-bin" diventa "% 63% 67% 69% 2d% 62% 69% 6e", una semplice confronto di stringhe ignorerà il valore di questa stringa di codice all'interno del significato. Attaccante attraverso la struttura di directory possono anche essere le caratteristiche per nascondere le loro vere intenzioni, per esempio: in catalogo i rappresentanti struttura di directory ,"./" ,"../" a nome della directory superiore, server web potrebbe essere "/ cgi-bin /././ PHF ","// cgi-bin / / "PHF," / cgi-bin/blah/../phf? "risolve tutti questi richiesta url" / "cgi-bin/phf, ma semplicemente Intrusion Detection System può solo stabilire se tale richiesta contiene la "/" cgi-bin/phf stringa, ma non ha trovato il significato che sta dietro l'.
3. La richiesta in tutta la sessione TCP stesso contiene solo pochi caratteri più che tagliare un piccolo pacchetto, intrusion detection rete sessione tcp se non la ricostruzione completa del sistema di rilevamento delle intrusioni solo vedere qualcosa di simile a "ottenere", "/" CG, "i", "-bin", "/ PHF" pacchetto individuale, ma non riesce a trovare i risultati della ristrutturazione di tornare, perché è molto semplice per controllarne il pacchetto individuale solo se vi è una serie di attacchi simili. Evitare un modo simile frammentazione ip vi si sovrappongono, si sovrappongono tcp inganno e altre tecniche più complesse.
In secondo luogo, "caccia" e la riprogrammazione, le lacune in materia di politica di sicurezza
La cosiddetta "caccia" è nel server teso una trappola, con l'intenzione di aprire una porta, con il sistema di rilevamento per 24 ore della sua attenzione molto vicino a quando gli hacker tentano di invadere il porto, il sistema di rilevazione sarà tempestivamente blocco. sistema delle intrusioni nella rete di rilevazione "caccia" e ri-regolare la politica di sicurezza impostazione del firewall funzioni, sebbene l'azione immediatamente bloccare l'attacco, ma questa azione si applica solo a bloccare sessione TCP, per essere del tutto limitato, devono contare su ri-adeguare la politica di sicurezza del firewall insieme di funzioni, ma può anche causare altri effetti negativi: in tempo reale bloccando l'azione consentire a un utente malintenzionato di scoprire l'esistenza di IDS, l'attaccante di solito trovare il modo di evitare o passare ad attaccare ID. strumenti di attacco Re-impostare la politica di sicurezza del firewall, se impostato correttamente, può anche causare un utente malintenzionato di fare denial of service (negazione del servizio): corretta progettazione, verificare se la mancanza di Network Intrusion Detection, un utente malintenzionato può mascherarsi da Altre fonti del ricorso normale attacco ip, sistema di rilevamento delle intrusioni di limitare la fonte del ip rash, porterà ad utenti legittimi che attacco perché l'attaccante non può usare. Sulla strada per identificare il progetto, o la cosiddetta "caccia" e re-impostare la politica di sicurezza impostazione del firewall funzioni, ha i suoi vantaggi e svantaggi. Intrusion Detection System può imparare di più circa la modalità di riconoscimento, o adeguare le proprie pratiche di riconoscimento, contribuirà a migliorare l'accuratezza del funzionamento del sistema di rilevamento delle intrusioni. Nella "caccia" e ri-regolare le impostazioni dei criteri di protezione del firewall caratteristica l'uso di strumenti, dovrebbe valutare attentamente i vantaggi e la perdita corrispondente al fine di svolgere efficacemente le funzioni del sistema di rilevamento delle intrusioni di rete.