本稿では、侵入検知システムに脆弱性は、ハッカーのプラクティスを見つけること。したら、オンラインハッカーの攻撃を分析するためにが表示されますネットワーク侵入検知システム、ネットワーク侵入検知システムインストールすると、侵入検知システム、リアルタイムのオンライン狩猟やこの種のブロックのカウンタ機能を使用できます。あなた、ファイアウォールアップする設定できます、あなたのための動的な変更による侵入の検知システムはautomatically、ファイアウォールのrulesにアクセスします-まで、このIPアドレス- lineアクションfrom拒否!"このbeautiful"futureを"侵入検知システムの数provider可能性があります通常のマーケティング手法は、一般的なビジネスや組織の侵入検知システムでも、この期待目的を持って自分を確立する。確かに、侵入検知システムは、することもできます右の会社または組織の健士と侵入検知の能力をよくすることができます適切なセキュリティ支援を提供します。しかし、泥棒はロックの設計を続行します方法として"同じ"を更新、侵入検知システムの出現、および迂回実践のための多くのネットワーク侵入検知システムは、"アップグレードする"引き続き。ここで、ハッカーの侵入検知システムは、より完全な侵入方法のために作られています。今では侵入検知システムの方法を知っているハッカーは、脆弱性に焦点を合わせる。
まず、設計上の欠陥の方法を特定する
1比較の攻撃や侵入検知システムの既知の方法は、Web内の文字列の出現をモニターには、ほとんどのネットワーク侵入検知システム方法を取ることです。たとえば、phf CGIプログラムの初期のApache Webサーバーのバージョンでは多くのハッカーによるサーバシステムのパスワードファイルの過去(/ etc / passwordに)をお読みに使用され、またはサーバーがそのツールに任意のコマンドを実行することができます。場合、ハッカーは、要求にそのURL要求の中で最も似て、このツールを使用して"/ ?....."文字列をcgi-bin/phf取得します。すべてのURL要求の多くは、侵入検知システムは、したがって直接比較が/ cgi-bin/phf文字列は、あるかどうかの攻撃をphf判断する場合。
2この検査方法ものの、侵入検知システムのさまざまな適用が、それらの異なる侵入検知システムは、異なるデザインのため、コントラストの方法によって異なるされます。いくつかの侵入検知システムは、単純な文字列比較することができます、他の詳細なTCPセッションの再検査を行うことができるしている間。これらの2つの設計方法は、パフォーマンスを考慮し、認識能力が考慮されます。攻撃中に攻撃者は、侵入検知システムを回避する行動に発見され、注文の意図を隠すための実践を避けるために取られることがあります。攻撃者はURLの%xxの6に警戒の値に、この時間"のcgi - binを"で文字をエンコードする例:"%63%67%69%2次元%62%69%になる6Eの"単純な文字列の比較は意味内のコードは、この文字列の値を無視します。攻撃者がすることもできますカタログ構造の特徴を、などの真の意図を、非:親ディレクトリのディレクトリ,"../", Webサーバのディレクトリ構造,"./"に代わっの代わりに"/ cgi - binに可能性があります/././ phf ","//のcgi - bin / / phf"は、"/ cgi-bin/blah/../phfは?"とは、これらのすべてのURLリクエスト"/ cgi-bin/phfの"の解決だけで侵入検知システムがどうかだけこのような要求は、"/ cgi-bin/phf"文字列を含みますが、決定することが背後にある意味を見つけられませんでした。
3。同じTCPセッション全体この中で要求がいくつかの文字だけの小さなパケットは、ネットワーク侵入検知場合は、全体ではなく、TCPセッションの再構成を含む以上を削減する、侵入検知システムは何かをのように表示されます""取得それは、単純な個々のパケットのみが存在する場合同様の攻撃の文字列であることを確認することですので、"/コンゴ"、"i"は、"- binの"、"/ phf"個々のパケットは、しかし、リストラの結果を戻ってきて見つけることができません。避けてください同様の方法があるIPアドレスの断片化は、tcp重複詐欺やその他のより複雑な技術を重なっています。
第二に、"狩り"とセキュリティポリシーの抜け穴をリセットする
いわゆる"狩猟"は、サーバーにあるため、非常に細心の注意、ハッカーはポートを介して侵入しようとすると24時間の検出システムでトラップを、ポートを開くしようとする、設定すると、検知システムは、タイムリーされます封鎖。ネットワーク侵入検知システム"狩り"と再ファイアウォールのセキュリティポリシー設定機能を調整、アクションはすぐに攻撃をブロックするが、しかし、このアクションは、完全に制限するためにTCPセッションをブロックするように適用され、それらを再ファイアウォールのセキュリティポリシーを調整に依存する必要があります機能が設定さも他の副作用を引き起こす可能性があります:リアルタイムアクションをブロックする攻撃者は、IDの存在を発見できるように、攻撃者は通常の方法を避けるために見つけるか、またはIDを攻撃に移動します。正しく、また、攻撃者は(サービス拒否攻撃を実行する可能性があります設定する場合の再-、ファイアウォールのセキュリティポリシーを設定するサービス拒否)攻撃ツール:適切なデザイン、チェックはネットワーク侵入検知、攻撃者の不足がasふりをすることができます通常のIP攻撃アクションの他の情報源は、侵入検知システム発疹のipのソースを制限するために、攻撃者が使用できないため、攻撃の正当なユーザーにつながる。方法"狩り"と再ファイアウォールのセキュリティポリシー設定機能セットを設計、または、いわゆるを識別するために、その長所と短所があります。侵入検知システムは、侵入検知システムの動作の精度を向上するのに役立ちます認識モード、またはその認識慣行を調整の詳細については学ぶことができます。 "狩り"と再ファイアウォールのセキュリティのポリシーを機能とtoolsを設定を調整する上で、慎重に効果的にネットワークの侵入検知システムの機能を実行するに利点とcorresponding損失を評価する必要があります。