学步园

编者注：也许IDS是可以被突破的，但不会是这么容易。

Bonus attack ? 在攻击指令中加注释，将不会被察觉。如果这是一个得到root权限的脚本，大部分ids系统都健壮到足以发现攻击中的不同。这在4，5，6，7种已经讨论过了。

11.使用不同的命令完成相同的功能。例如，通常在unix shell中 ”echo *”等效于”ls”。

当攻击系统的时候，任然需要运行”tprof”之类。即使在另一个系统上把它编译成仅仅运行”trpof”的二进制程序，许多ids系统如Stalker 、SeOS也会发现从非特权用户向特权用户的转变。

12.在攻击中改名。例如，攻击使用临时文件”xxx”,你可以把它改名为“yyy”。

这假定ids系统只搜索指定的文件名，参见11。

13.建立一个对照表对关键字进行翻译。然后进行字符替换，例如，可以使用sed作字符替换。

同11。

14.对指令用”ebcdic”编码，并且把终端类型改为“ebcdic”终端。因为所有的字符编码都改变了，所以ids不会察觉到你的行为。

同11。

15．对指令加密，例如，使用ssh,可以防止sniffer，网络ids产品一般包括sniffer功能。

仅对基于网络的ids有用。基于主机的ids在ssh下对用户行为可以进行完全的控制。

16．发送时使用后缀符号，然后在其他地方再翻译回来。Ids不会理解这些符号。

同15。

17．和目标机之间用全双工通信，ids理解不了附加的字符。

Dragon，T_Sight和所有版本的DoD NID程序可以对付这些情况。

18．在一次入侵中交互使用一些已知的入侵技术。Ids可能不会分辨出。

很可能发现至少一种入侵。这不是一种新技术，如同5，6，7一样。

19．对daemons发送的结果编码，这样返回的格式将不会被ids察觉。例如，如果你利用一个sendmail的bug发送一个password文件给你自 己，可以通过管道用一个sed脚本将文件中的”:”改变成”-“。

这发生在入侵成功之后。在入侵成功后怎么处理password文件是很有意思的，但这不属于攻击类型。

20．通过管道用awk脚本对字符进行交换。可以躲过ids。

如同15。不是一种新的方法。

Bonus attack ? 从一张表里用行号选择命令，而目标执行相应的命令。例如，你可以键入”15 *.com”，而目标却执行”dir *.com” 。

如同15，这只是加密shell命令的一种新办法。

21.DOS IDS的sensor端口。使它失效。

许多基于网络的ids产品经过安全配置，可以在没有ip地址的情况下完成sensor的工作。一些ids产品，例如Dragon，没有任何打开的udp 或tcp端口。RealSecure，NetProwler,NetRanger同样可以去掉ip地址来防止攻击。

22．用ping来攻击ids。通过发送大的ping包，可以使许多运行ids的系统崩溃，这样它就不会发现随后的攻击。

还是DOS技术。已经在21条里详细说过了，许多网络ids比周围的环境有更高的安全性。尽管我确信有许多运行在Windows NT上的网络ids 存在操作系统本身的漏洞。

23．攻击ids所运行的平台。许多ids运行在常见的有漏洞的操作系统上。一旦攻击平台得手，对付ids就轻而易举了。

与21、22相同。

24．创造错误的审计纪录来迷惑ids。例如，在攻击包和正常包之间发送包可以使攻击看起来无害。

SNI就这个问题写了一片非常好的论文。NFR和Dragon网络ids可以避免这些攻击。一般来说，基于主机的ids不会存在这些漏洞。

25．消耗ids系统的磁盘空间，然后进行攻击。用无害的数据填充磁盘空间，ids将崩溃，随后的攻击就不会被发现。

Ids系统什么时候崩溃呢？如果ids系统记录所有的信息，它可能被管理员注意。攻击者所做的只是提高了管理员的警觉性。

26．停止审计记录的生成或采集然后进行攻击。例如，创建数量很多的进程，那么，ids系统就不能再创建审计进程。

这是一个本地DOS攻击。许多unix操作系统可以抵抗这些本地攻击。主机ids使用单独的进程，同样可以避免。并且，如果服务器负载过 重，管理员会注意到过多的进程。

27．攻击响应系统来中断通信。例如，一些ids系统会切断从攻击发起处来的所有流量。伪造从特定主机发起的攻击，ids系统将切断从 那台主机来的所有连接，那时就可以攻击这台特定的主机了。

这是Mr.Cohen文章中我感兴趣的攻击之一。如果我理解正确的化，这意味着使用ids的自动阻断攻击方ip地址的功能来阻断被保护网络主 机。一些ids产品，例如CMDS、NetRanger、NetProwler、RealSecure可以与防火墙或路由器对话。当特定的事件发生，路由器和防火墙将会限 制特定主机的流量。这种技术有一个流量的问题，也就是防火墙和ids系统协同工作的原因。当流量受限时，只限制由外向内的流量。特定主机 不会孤立的被攻击。

28．逆向输入，再使用一个转换工具转换。在发送和接受时作同样的事情。

如同15。这只是一种伪装shell的新办法。

29．输入时中间插入符号，再用awk转变成前缀符。Ids系统将不会中断连接。

如同15,28和29。仅仅在网络ids观察telnet或rlogin会话时才有用。这些技术很难轻易的在ftp,http,smtp等其他的协议上使用。

30．使用“emacs”作为shell，使用wipes和yanks输入输出命令缓存代替手工键入。当在目标机执行攻击指令时Ids系统将只会看到类似 于ctrl-W和ctrl-Y。

NFR和RealSecure将察觉”emacs”的使用，因为不使用”vi”的人很可能是hacker。同样，这也只是另一个隐藏命令的方法。通常只对telnet 和rlogin有用。

Bonus attack—非常缓慢的输入（每条命令之间最好相隔几个小时）。因为缓存大小的限制，你的输入被一大堆ids不得不看的东西冲掉 了。

网络ids有这样的弱点。主机ids没有。一些网络ids,如NFR、Dragon等能够被配置的足够发现长时间的低带宽的网络会话。

31.改变到目标的路由来躲过ids。

如果有拓扑学知识的话，这将是一种有效的攻击。为了进行这种攻击，必须进行一定的网络解析。这将很容易的被网络ids系统发现。这 种攻击同时要求对对方IDS系统的布置了如指掌。

32.改变从目标回来的返回路由来避免IDS。

同31。

33．用源路由包指定不同的路由到目标，可以躲过一些单一的ids。

几乎所有的防火墙，路由器和服务器都会丢弃并且纪录源路由包。31、32、33都假设有备用的通道可以到达目标，但实际上，网络IDS可 以配置成一个遏制点(网络连接必须经过)。

34.从被保护网络上用modem拨号进行攻击，可以躲过网络ids系统。

当然，我们有更多的办法来躲过ids系统，先观察它们，再从他们不会察觉的地方入手。例如，我们可以向被Axent IA，BlackICE，甚至 RealSecure保护的Windows NT系统释放一个病毒。这些ids系统都不会察觉系统级的病毒。

35.干扰目标和ids之间的通信。对于网络ids，可以采用改变路由器通信的办法。

这与33非常象。网络ids通过监听网络通信的办法来实现。如果通信没有被监听到，那么就不会有入侵察觉。这种攻击仅仅当攻击者可以 改变内部网络路由，并且从通信到流量都有其他的存取点。许多网络ids系统可以察觉到改变路由的企图。

36．从跳板进行攻击。攻击将被察觉，但他们不会追踪到（除非它们特别擅长追踪）。

文章题目是“50种躲过ids系统的办法”。但这种办法不是躲过ids系统。仅仅是改变了ids检测出的入侵主机。而且你作为跳板的主机可 能也会监测到你的行为。

37．在不使用的端口上开启一个连接。

这样做的前提是攻击者已经可以访问到目标。新的攻击不会以这种方式开始。有许多程序例如NetCat可以做这样的事情。大部分这样的 程序都可以被网络ids发现。RealSecure这样的产品甚至能发现LOKI ICMP(通过icmp包来封装c/s) 会话。

38.使用改变过的协议通信，例如在单词中使用逆序。（可以参考PDP-11，VAX的编码）。

这只是加密网络传输。前提条件是在对方网络里有一个肯合作的系统。

39．使用ip包封装ipx包来攻击。Ids系统可能仅仅注意ip包，但不理解它的内容。

如果对方有一个基于ipx的ids系统，他们就会发现这次攻击。

40．使用不同的隧道协议攻击。例如IP over HTML。

还是加密传输技术。

Bonus Attack ? 为新的工具定义你自己的协议，然后用它攻击。参照40。你控制目标主机，写你自己的加密管道，用它在ids系统面前通信，这并不是躲过ids系统。

41．用modem拨号上网攻击，可以躲掉网络ids。

同34。

42．产生大量虚假的攻击信息来增加ids的noise级别。这将使管理员很难从大量信息中筛选出真实的攻击。

很有意思，但是考虑到网络管理系统被设计为用不为人所理解的方式处理和显示信息。Ids系统也一样。例如，Dragong，在许多不同级 别的提取中，用一些不同的工具来寻找不同的数据。企业级产品例如WebTrends 趋向于用一种非常容易理解的方式来显示所有整理过的安全信 息。攻击者如果照前文所说的做了，他会使目标的alert级别升高。

43．把入侵指令放在一个word宏里面。把文档发送到目标。Ids可能不会解码宏里面的攻击指令。

参考34。一些产品如RealSecure会发现可疑的JAVA和ActiveX下载。带有病毒检测的应用代理防火墙同样可以察觉这样的攻击。

44.把入侵指令放到Power point、lotus-123等任何你能想到的其他产品的宏里面。

参考43和34。所谓的50种方法并没有达到50种。

45．把指令放到编译后的程序里（例如，一个木马），然后，想办法让目标主机下载然后执行。

这是一个经典的all time攻击。常见的木马可以被许多主机和网络ids发现。一些防火墙甚至可以发现bo的扫描。从另一方面来说，这也 是今天计算机安全所面临的最严重的问题之一。几乎不可能检查二进制程序甚至源码来预测它将要做什么。Ids也做不到，但这也不是你扔掉id s产品的理由。当你想要用E-mai发送敏感的公司信息时，大部分ids或防火墙产品同样也不会发现。

46．使用很少见的协议来攻击。Ids可能不知道如何解码这种包。

协议不是一个很好的术语。如果这意味着不同的udp/tcp端口，那么网络ids就应该发现它。但是许多网络ids产品仅仅把他们可以理解的 标记为可疑。对以非icmp,udp,tcp的方式进行的攻击，许多ids可以被配置来产生警告。

47．用不同的语言对原始发布的exploit重写。

我不认为这将有用。例如check-cgi程序，他已经传播了好几个月，可以检查70多个cgi漏洞。他被从c移植到Rebol，但在网络层上没有 任何不同。这种方法仅仅当ids只搜寻特定的二进制程序才有效。

48．使用非技术的攻击（例如所谓的社会工程）。因为ids只和位与字节打交道。

没错，但可以建立警戒系统，背景检查，摄像机，员工训练程序等等可以防止这种方法。甚至可以通过法律手段。

49．攻击没有运行unix的系统。因为今天几乎所有的ids都是针对unix系统的。

一份调查显示NetProwler，NFR Flight Jacket，NetRanger，RealSecure，Dragon，BlackICE 都可以发现多数的windows NT类攻击。

50-1000+.使用上千种不为当前系统所知的方法中的一种攻击。有些系统的最大检测攻击数只有50（其中一个版本声称超过了150种，但 是我知道已知的漏洞已经超过了2000种），不过150比起50任然是进步。

那些公布的已知的漏洞在哪里？当我们访问Packetstrom和Rootshell时，许多主要的攻击都可以被ids产品覆盖。有一些专门针对ids的 缺点，但大部分攻击，ids都可以察觉。

Bonus attacks—1000+到…….. 写一个新的攻击脚本。Ids仅仅能察觉部分已知的漏洞。

参考50-1000+。

评价ids系统和网络安全是非常困难的，因为这个主题非常含糊。我希望这篇文章能引起一些争论，并产生一些关于ids在网络中的角色 的讨论。对读者来说，很明显的作者认为ids在安全网络里非常有用。我承认再好的ids也不能拯救世界，但他们也不应该被轻易的低估。

『引自 安全培训基地』