In deze paper, de kwetsbaarheid voor Intrusion Detection System vinden hackers praktijken. Eenmaal geïnstalleerd, een netwerk intrusion detection systemen, Network Intrusion Detection System zal verschijnen voor u naar de online aanvallen van hackers te analyseren, en u kunt het loket functie van intrusion detection systemen, real-time online jagen of te blokkeren dit soort gebruik. U kunt ook opgezet met de firewall, intrusion detection-systemen door de dynamische veranderingen voor u automatisch toegang tot de firewall-regels, weigerde om follow-up van dit IP-line actie! "Deze mooie" toekomst "kan een aantal van intrusion detection systemen aanbieder De gebruikelijke marktpraktijken, de algemene bedrijf of organisatie om hun eigen intrusion detection systeem zal dit gewenste doel immers vast te stellen. kan intrusion detection systemen hebben zeer goede bewaking en intrusion detection-vermogens, kan ook een bedrijf of organisatie zorgen voor een goede beveiliging bijstand. Maar, zoals de manier waarop de dief zal doorgaan met het ontwerp van de sluis "update" dezelfde, met de opkomst van intrusion detection systemen, en vele Network Intrusion Detection systemen voor ontduiking ook zal blijven "upgrade" . Nu, hacker intrusion detection systemen zijn gemaakt voor een meer complete inbraak methoden. Nu zullen we ons richten op Intrusion Detection System, de kwetsbaarheid voor hackers manier om te weten.
In de eerste plaats te identificeren manieren van ontwerpfouten
1. Vergelijking van de bekende methoden van aanval en intrusion detection-systeem tot het ontstaan van een string in het web te volgen, is dat de meeste Network Intrusion Detection System zal een manier te nemen. Bijvoorbeeld, is in het begin van Apache Web server versie van het PHF CGI-programma vaak gebruikt door hackers om te lezen langs het wachtwoord op de file server systeem (/ etc / wachtwoord), of uitvoeren van willekeurige code op de server voor een van de instrumenten. Als hackers met behulp van dit instrument, in de meeste van haar url verzoek zal vragen om een soortgelijke "GET / cgi-bin/phf ?....." string. Veel intrusion detection-systemen zullen dan ook directe vergelijking van alle url verzoek indien er wel / cgi-bin/phf string, om te beoordelen of er de aanslagen PHF.
2. Deze inspectie-methode, hoewel van toepassing is op een verscheidenheid van intrusion detection systemen, maar die van verschillende intrusion detection systemen, omdat van verschillende design, bij wijze van contrast anders zal zijn. Sommige intrusion detection-systemen kan alleen maar een simpele string vergelijking, terwijl anderen zijn in staat om een gedetailleerde reconstructie en tcp sessie inspectie uit te voeren. Deze twee methoden voor het ontwerpen, een onderzoek van de prestaties, een erkenning vermogen in aanmerking wordt genomen. Aanvallers tijdens een aanval, Intrusion Detection System om te voorkomen dat het gedrag gevonden kan even duren fraude technieken om haar bedoelingen te verbergen. Bijvoorbeeld: de aanvaller zal de tekens te coderen in de URL in xx% 6 in de waarde van de waakzaamheid op dit moment "cgi-bin" wordt "% 63% 67% 69% 2d% 62% 69% 6e", een eenvoudige string vergelijking negeert de waarde van dit stukje code in de zin. Een aanvaller kan ook de catalogus van de kenmerken van de structuur, de ware bedoelingen te verbergen, bijvoorbeeld: in de directory structuur ,"./" catalogus ,"../" vertegenwoordigers namens de bovenste map kan webserver worden "/ cgi-bin /././ PHF ","// cgi-bin / / PHF "," / cgi-bin/blah/../phf? "lost al deze url verzoek" / cgi-bin/phf ", maar gewoon Intrusion Detection System kan alleen bepalen of een dergelijk verzoek van de "/ cgi-bin/phf" string bevat, maar niet vinden van de betekenis achter de.
3. De gehele verzoek in dezelfde tcp sessie bevat slechts een paar tekens meer dan Snijd een klein pakket, Network Intrusion Detection, zo niet de hele tcp sessie de wederopbouw, de intrusion detection systeem alleen ziet iets wat lijkt op "get", "/ cg", "I", "-bin", "/ PHF" individuele pakket, niet de resultaten van de herstructurering te vinden om terug te komen, omdat het gewoon vinkt u het individuele pakket is een reeks van soortgelijke aanvallen. Vermijd een soortgelijke manier is er overlap IP fragmentatie, tcp overlap bedrog en andere, meer complexe technieken.
In de tweede plaats, "jacht" en resetten van de lacunes in het veiligheidsbeleid
De zogenaamde "jacht" is een val te zetten in de server, die voornemens is een poort open, de detectie systeem te gebruiken om haar zeer nauwe aandacht voor 24 uur, toen hackers proberen binnen te dringen via de haven, het detectiesysteem zal tijdig haar blokkade. Network Intrusion Detection System "jacht" en opnieuw aanpassen van de firewall-instelling van het beveiligingsbeleid functies, hoewel de actie onmiddellijk te blokkeren de aanval, maar deze actie geldt alleen voor tcp sessie te blokkeren, om volledig te worden beperkt, moeten zij zich beroepen op re-aanpassen van de firewall veiligheidsbeleid set van functies, maar kan ook leiden tot andere nadelige effecten: real-time blokkering van de actie toe te staan een aanvaller om het bestaan van IDS te ontdekken, zal de aanvaller meestal vinden manieren om te voorkomen of te verplaatsen naar ids aanval. Re-set de firewall veiligheidsbeleid, indien correct is ingesteld, kan ook leiden tot een aanvaller denial of service doen (denial of service) aanval tools: goed ontwerp, controleer dan of het ontbreken van Network Intrusion Detection, een aanvaller kan zich voordoen als Andere bronnen van de normale ip aanval optreden, intrusion detection-systeem om de bron van de uitslag ip te beperken, zal leiden tot een legitieme gebruikers die aanval, omdat de aanvaller niet kunnen gebruiken. Op weg naar het ontwerp, of de zogenaamde identificeren "jacht" en opnieuw instellen van de firewall-instelling van het beveiligingsbeleid functies, heeft zijn voordelen en nadelen. Intrusion Detection System kunt meer lezen over de erkenning modus, of voor de identificatie van methoden om de aanpassingen te leren zal bijdragen tot de werking van intrusion detection systeem te verbeteren is juist. Op de "jacht" en bijstellen van de firewall instelling van het beveiligingsbeleid functies en tools, moeten zorgvuldig evalueren van de voordelen en het daarmee samenhangende verlies om doeltreffend te kunnen uitvoeren van de functies van Network Intrusion Detection System.