突破IDS入侵检测系统的九种实用方法
核心提示:以英文为IDS的入侵检测系统,顾名思义就是用来检测攻击和报告攻击,如果把防火墙比作守卫网络大门的看门人,那么入侵检测系统(IDS)就是一个可以主动搜索罪犯的巡逻队,从而寻找突发事件…入侵检测系统,英文为入侵检测系统,用于实时检测攻击和报告攻击。如果防火墙相比,守门人守着网络的大门,然后,入侵检测系统(IDS)是一个巡逻,积极寻找罪犯。因此,对于突破IDS的搜索是漏洞扫描、脚本注入意义重大,URL攻击等,以及进一步提高入侵检测系统。
Snort是许多人使用的IDS。事实上,这不是普遍的。以下是突破IDS的方法,如基于网络的Snort:多态URL技术。
提到多态性两个词,我们可能联想到将病毒技术写在多态性;应变加密技术上,事实上,我在这里讲的多态性的URL多态性编码技术和病毒变形技术也有相似之处,是以不同的形式达到同样的目的。
对于同一URL,我们可以使用不同形式的编码来表示它们。当IDS实时检测数据时,它将其检测到的数据与其自身规则集文件进行比较,将其作为攻击意图字符串。如果匹配,则表明系统被攻击,以防止攻击和报警。因为同样的目的URL可以以不同的形式表达,使变形后的URL编码可能无法在IDS的规则集文件,也扰乱了入侵检测系统的识别标志分析引擎,从而实现突破,绕过入侵检测系统的影响。
有许多种多态URL编码技术,和我介绍常用的9种具有代表性的方法。同时为了便于说明,这里的URL提交 / / msadcs.dll.ldquo MSADC地址例; / / msadcs.dll MSADC;已收集到的规则集的Snort等IDS规则文件,所以当我们直接提交 / / msadcs.dll MSADC到目标机器,它将拦截和提醒的ID。
第一个窍门:字符串插入法
在对特效视图;。/;我们可以把它插入到URL实现URL变形。例如, / / msadcs.dll MSADC,我们可以把它改写成 / / / / / MSADC。。 / / msadcs.dll,。 / / / MSADC。/。/ msadcs.dll等形式扰乱IDS的识别标志分析引擎,实现欺骗IDS的目的。和URL重写是相当于未改性的访问效果。我所做的实验表明,该方法可以绕过Snort入侵检测系统等。>
第二:00ASCII码
移动互联网上的漏洞,上次是利用这个功能,我们一定要熟悉本。其原理是,当计算机处理字符串,它是自动截断00的ASCII码,我们可以重写 / / / msadcs.dll MSADC MSADC / msadcs.dll iloveheikefangxian,并用winhex变化之间的空间。DLL和我爱00的ASCII码,然后将它保存和使用数控与管道符号匹配。所以在一些IDS, / / msadcs.dll MSADC iloveheikefangxian并不在其规则集攻击意图的字符串相同,那么它将给攻击者的行为无动于衷。看!Ldquo;当计算机处理字符串时,自动地在ASCII代码00上剪切,这个原则的应用有多广泛!从哲学的观点来看,事物是相互关联的。我们应该多加考虑,挖掘内部规律,以便有新的发现。
第三个措施:使用路径分隔符;
为Web服务器,如微软的IIS, 也可以是路径分隔符像 / 有些ID没有考虑非标准路径分隔符设置规则时,设置文件;;如果我们改写 / / msadcs.dll MSADC MSADC msadcs.dll Snort可以逃脱法眼,因为Snort规则集文件没有 msadcs.dll MSADC标记。值得一提的是,路径分隔符;有一种神奇的效果,就是之前提到的黑客防线5c %;% 5c满沧大法,;16进制形式。
第四招:十六码
一个字符,我们可以用符号%;;再加上十六波段的ASCII码。例如,ldquo / / msadcs.dll MSADC的第一个字符;/;可以表示为% 2F,则特征可以用相应的16进制ASCII码与% 表示,通过这种方法编码的URL后就不再是原来的形状,IDS规则文件的设置可能不串编码。因此,您可以绕过IDS,但此方法对于使用HTTP预处理技术的IDS无效。
第五。非法Unicode编码
UTF-8编码允许设置为包含256个以上字符的字符,所以超过8位是允许的。和的十六字符的ASCII码是带号是由二进制数表示为00101111,代表2f UTF-8格式的标准方式仍然是2F,但你也可以使用一个多字节UTF-8字符代表2F。和可以表示为一个单字节、双字节、三字节UTF-8编码如下表所示:
字符表示二进制十六
单字节0xxxxxxx 00101111号2F
双字节110xxxxx 10xxxxxx 1100000010101111 C0 AF
三字节1110xxxx 10xxxxxx 10xxxxxx E0 80 AF 1110000010000000 10101111
根据这种方法,我们可以对整个字符串进行相应的编码,虽然编码的URL最终拥有相同的资源,但它们的表达式不同。IDS的规则集文件中可能不存在此筛选器字符串,从而达到破坏IDS的目的。
第六招:冗余编码方法
多余的代码也被称为双解码。记得2000-2001 IIS Unicode解码漏洞和双解码多漏洞的时候很多朋友沸沸扬扬,稀里糊涂的以为是双解码的Unicode解码漏洞漏洞,事实上他们是不同的两件事,前者对违法的原则;Unicode编码描述。多余的代码指的是性格的多重编码。例如,和的特性能够在%%号表示;2f%;2f;特征是由其十六进制ASCII码表示,根据知识的排列组合的数学呵,在3平方的形式编码,2和% 2f% 25% 32% 66可以改写为:% 252f等等;;;多态性实现URL字符串编码后不得在IDS规则文件的收集,可以欺骗一些入侵检测系统。
第七招。加入假路径
在添加到URL之后;……;在字符串之后,字符串后面的目录没有意义和无用。因此,使用字符串可以干扰分析引擎的识别,破坏IDS的效果!
第八:插入多斜线
我们可以使用多个和而不是一个单一的和的替换URL仍然可以工作了。例如, / / msadcs.dll MSADC可以改变 / / / / / / / MSADC / msadcs.dll请求,我的实验,可以绕过一些入侵检测系统。
第九:综合多态编码
如果你看一下这个副标题,你就会知道所谓的合成就是将上面的多态变形编码技术结合起来,这样效果会更好。
后记:我所提到的00的时候;ASCII码;和非标准路径分隔符;;,你可能觉得眼熟,因为这与此前流行的动态网络漏洞和满仓法有着密切的联系。Hacker是门艺术,黑客是灵感的想法,我们可以通过深思维创造新技术。