《企业网D1Net》2月14日讯
提及入侵检测系统,英文简写为IDS,相信很多人都并不陌生,从字义就可以看出它的内涵,它是用来实时检测攻击行为以及报告攻击的。
如果把防火墙比作守卫网络大门的门卫的话,那么入侵检测系统(IDS)就是可以主动寻找罪犯的巡警。因而寻求突破IDS的技术对漏洞扫描、脚本注入、URL攻击等有着非凡的意义,同时也是为了使IDS进一步趋向完善。
笔者在此介绍五种常用且有一定代表性的方法。
第一招:十六进制编码
对于一个字符,我们可以用转义符号“%”加上其十六进制的ASCII码来表示。比如/msadc/msadcs.dll中第一个字符“/”可以表示为%2F,接下来的字符可以用它们对应的16进制的ASCII码结合“%”来表示,经过此法编码后的URL就不再是原先的模样了,IDS的规则集文件里可能没有编码后的字符串,从而就可以绕过IDS。但是这种方法对采用了HTTP预处理技术的IDS是无效的。
第二招:多余编码法
多余编码又称双解码。还记的2000-2001年IIS的Unicode解码漏洞和双解码漏洞闹得沸沸扬扬,那时有许多朋友稀里糊涂的以为Unicode解码漏洞就是双解码漏洞,其实它们两者是两回事,前者的原理笔者已在上述的“非法Unicode编码”中有所描述。而多余编码就是指对字符进行多次编码。比如“/”字符可以用%2f表示,“%2f”中的“%”、“2”、“f”字符又都可以分别用它的ASCII码的十六进制来表示,根据数学上的排列组合的知识可知,其编码的形式有2的3次方,于是“%2f”可以改写为:“%25%32%66”、“%252f”等等来实现URL的多态,编码后的字符串可能没被收集在IDS的规则集文件中,从而可以骗过有些IDS。
第三招.加入虚假路径
在URL中加入“../”字符串后,在该字符串后的目录就没有了意义,作废了。因此利用“../”字符串可以达到扰乱了识别标志分析引擎、突破IDS的效果!
第四招:插入多斜线
我们可以使用多个“/”来代替单个的“/”。替代后的URL仍然能像原先一样工作。比如对/msadc/msadcs.dll的请求可以改为////msadc////msadcs.dll,经笔者曾经实验,这种方法可以绕过某些IDS。
第五招:综合多态编码
聪明的你一看这个小标题就知道了,所谓综合,就是把以上介绍的几种多态变形编码技术结合起来使用,这样的话效果会更好。
D1Net评论:
随着网络相关漏洞和黑客攻击事件频发,人们对安全安全问题的重视程度也越来大,黑客是门艺术,黑客讲究的是灵感是思路,我们通过深入思考,旧的知识也可以创造出新的技术,在应对黑客攻击中才能不断创造新方法。