I denne utredningen, til sårbarheten for Intrusion Detection System finne ut hackere praksis. En gang installert, nettverk inntrenging gjenkjenning systemer, nettverk Intrusion Detection System vises for deg å analysere elektroniske hacker-angrep, og du kan bruke disken funksjonen til å oppdage inntrenging systemer, i sanntid jakt eller blokkere denne type. Du kan også stille opp med brannmur, inntrenging gjenkjenning systemer av dynamiske endringene for deg automatisk tilgang til brannmurreglene, nektet å følge opp fra denne ip-line action! "Dette vakre" fremtiden "kan være en rekke Detektering av inntrenging i systemer leverandøren Den vanlige markedsføring praksis, den generelle bedriften eller organisasjonen Zai Jian Li eget Intrusion Detection System slike formålet Ye Hui. Faktisk, Intrusion Detection System for Jian Shi Ke Yi har et svært godt, og Nengli oppdage inntrenging, kan også være en bedrift eller organisasjon bidrar til å gi god sikkerhet. Men som hvordan tyven vil fortsette med utformingen av låsen "oppdatere" den samme, med fremveksten av å oppdage inntrenging systemer, og mange nettverk oppdage inntrenging systemer for omgåelse praksis også vil fortsette å "oppgradere" . Nå har hacker inntrenging oppdagelse systemer er laget for et mer fullstendig inntrengning metoder. Nå vil vi fokusere på Intrusion Detection System, sårbarhet for hackere måte å vite.
Først finne måter design feil
En. Sammenligning av kjente metoder for angrep og Intrusion Detection System for å overvåke fremveksten av en streng i nettet, er at de fleste nettverket Intrusion Detection System vil ta en måte. For eksempel er tidlig på Apache web server-versjonen av phf cgi programmet ofte brukt av hackere til å lese forbi passordet på filserveren systemet (/ etc / passord), eller kjøre vilkårlig kode på serveren for et av verktøyene. Når hackere bruker dette verktøyet, i sin url forespørsel i forespørselen vil mest lignende "get / cgi-bin/phf ?....." streng. Derfor er det mange Intrusion Detection System vil direkte sammenligning av alle url forespørselen om det / cgi-bin/phf string, å bedømme om det phf angrepene.
2. Denne inspeksjonen metoden, men gjelder for en rekke innbrudd oppdagelse systemer, men de som av ulike Detektering av inntrenging i systemer, på grunn av forskjellig design, i form av kontrast vil være forskjellige. Noen Detektering av inntrenging i systemer kan bare være en enkel streng sammenligning, mens andre er i stand til å gjennomføre en detaljert tcp økt gjenoppbygging og inspeksjon. Disse to metoder for design, en vurdering av ytelse, en anerkjennelse evne er tatt hensyn til. Angriperne under et angrep, Intrusion Detection System for å unngå å bli funnet i sin væremåte, kan tas for å unngå praksis for å skjule sine intensjoner. For eksempel: angriperen vil omsette tegn i url i% xx 6 inn verdien av årvåkenhet på dette tidspunktet "cgi-bin" blir "% 63% 67% 69% 2D% 62% 69% 6e», en enkel strengen sammenligning vil ignorere verdien av denne strengen av koden omhandlet. En angriper kan også katalogisere egenskaper av strukturen, skjule sitt sanne intensjoner, for eksempel: i katalogstrukturen ,"./" katalog ,"../" representanter på vegne av de øvre katalogen, kan webserveren være "/ cgi-bin /././ phf ","// cgi-bin / / phf "," / cgi-bin/blah/../phf? "løser alle disse url forespørsel" / cgi-bin/phf ", men rett og slett Intrusion Detection System kan kun avgjøre hvorvidt en slik anmodning inneholder "/ cgi-bin/phf" streng, men fant ikke meningen bak.
3. Hele forespørselen i samme tcp økten inneholder bare noen få tegn mer enn klippe en liten pakke, nettverk inntrenging oppdagelse, om ikke hele tcp økten rekonstruksjon, vil Intrusion Detection System bare se noe som ligner å "få", "/ CG", "i", "-bin", "/ phf" enkelt pakke, men kan ikke finne resultatene av re-back, fordi det bare sjekk den enkelte pakke bare hvis det er en rekke lignende angrep. Å unngå en lignende måte er det ip fragmentering overlapping, tcp overlapper bedrag og andre mer kompliserte teknikker.
For det andre "jakt" og restarter smutthull i sikkerhetspolitiske
Den såkalte "jakt" er i serveren satt opp en felle, til hensikt å åpne en port, med oppdagelsen system for 24 timer av sin svært nøye med på, når hackere prøver å invadere gjennom porten, vil oppdage systemet være betimelig blokade. Network Intrusion Detection System "jakt" og re-justere brannmuren sikkerhetspolitikk innstilling funksjoner, selv om handlingen umiddelbart blokkere angrep, men denne handlingen bare gjelder å blokkere TCP økt, å være helt begrenset, må vi stole på brannmuren å etterjustere sikkerhets politikk sett av funksjoner, men også kan føre til et annet mot: sanntids blokkere virkningen IDene tillater en angriper å oppdage eksistensen av en angriper vil vanligvis finne måter å unngå eller gå til angrep ids. Re-set brannmuren sikkerhetspolitikk, hvis satt på riktig måte, kan også føre til en angriper å gjøre denial of service (denial of service) angrep verktøy: riktig design, sjekk om mangelen på Network Intrusion Detection, kan en angriper masquerade som Andre kilder til den vanlige ip angrepet handling, Intrusion Detection System for å begrense kilden til utslett ip, vil føre til legitime brukere som angrep fordi angriperen ikke kan bruke. På vei til å identifisere design, eller såkalte "jakt" og re-sette brannmuren sikkerhetspolitiske setting fungerer, har sine fordeler og ulemper. Intrusion Detection System kan lære mer om anerkjennelse modus, eller justere sine anerkjennelse praksis, vil bidra til å forbedre nøyaktigheten av Intrusion Detection System drift. På "jakten" og re-justere brannmuren sikkerhetspolitikk sett funksjoner bruk av verktøy, bør du nøye vurdere fordeler og tilsvarende tap for effektivt å kunne utføre de funksjonene i nettverket Intrusion Detection System.