分析入侵檢測系統漏洞的黑客手法

2021-06-20 17:13:25 字數 1432 閱讀 9013

本文針對檢測系統的漏洞來了解一下黑客的手法。一旦安裝了網路檢測系統,網路檢測系統就會為你分析出網上出現的黑客事件,而且你能用此檢測系統的反擊功能,即時將這種聯機獵殺或阻斷。你也可以配合防火牆的設定,由入侵檢測系統自動為你動態修改防火牆的訪問規則,拒絕來自這個ip 的後續聯機動作!」這種美好的「前景」,可能是許多入侵檢測系統提供商的慣用銷售手法,一般的企業或組織在建立自己的入侵檢測系統時也會有這種預期目的。誠然,入侵檢測系統可以具有很好的監視及檢測入侵的能力,也可以對企業或組織的安全提供很好的協助。但是,正如小偷的手法會隨著鎖的設計而不斷「更新」一樣,隨著入侵檢測系統的出現,許多針對網路入侵檢測系統的規避手法也隨之不斷「公升級」。如今,黑客對於入侵檢測系統已經有了一套較完整的入侵手法。下面我們將針對入侵檢測系統的漏洞來了解一下黑客的入侵手法。

一、識別方式的設計漏洞

1.對比已知手法與入侵檢測系統監視到的在網上出現的字串,是大部分網路入侵檢測系統都會採取的一種方式。例如,在早期apache web伺服器版本上的phf cgi程式,就是過去常被黑客用來讀取伺服器系統上的密碼檔案(/etc/password),或讓伺服器為其執行任意指令的工具之一。當黑客利用這種工具時,在其url request請求中多數就會出現類似「get /cgi-bin/phf?.....」的字串。因此許多入侵檢測系統就會直接對比所有的url request 中是否出現/cgi-bin/phf 的字串,以此判斷是否出現phf 的行為。

2.這樣的檢查方式,雖然適用於各種不同的入侵檢測系統,但那些不同的入侵檢測系統,因設計思想不同,採用的對比方式也會有所不同。有的入侵檢測系統僅能進行單純的字串對比,有的則能進行詳細的tcp session重建及檢查工作。這兩種設計方式,乙個考慮了效能,乙個則考慮了識別能力。者在進行時,為避免被入侵檢測系統發現其行為,可能會採取一些規避手法,以隱藏其意圖。例如:攻擊者會將url中的字元編碼成%xx 的警惕6進值,此時「cgi-bin」就會變成「%63%67%69%2d%62%69%6e」,單純的字串對比就會忽略掉這串編碼值。

內部代表的意義。攻擊者也可以通過目錄結構的特性,隱藏其真正的意圖,例如:在目錄結構中,「./」代表本目錄,「../」代表上層目錄,web伺服器 可能會將「/cgi-bin/././phf」、「//cgi-bin//phf」、「/cgi-bin/blah/../phf?」這些url request均解析成「/cgi-bin/phf」,但單純的入侵檢測系統可能只會判斷這些request是否包含「/cgi-bin/phf」的字串,而沒有發現其背後所代表的意義。

3.將整個request在同乙個tcp session中切割成多個僅內含幾個字元的小packet,網路入侵檢測若沒將整個tcp session重建,則入侵檢測系統將僅能看到類似「get」、「/cg」、「i」、「-bin」、「/phf」的個別packet,而不能發現重組回來的結果,因為它僅單純地檢查個別packet是否出現類似攻擊的字串。類似的規避方式還有ip fragmentation overlap、tcp overlap 等各種較複雜的欺瞞手法。

常見的系統漏洞

未完待續 1 漏洞公告 cve 2017 1000367 sudo本地提權漏洞 2017年5月30日,國外安全研究人員發現在linux環境下,可以通過sudo實現本地提權的漏洞。該漏洞編號為cve 2017 1000367,它幾乎影響所有linux系統。漏洞編號 cve 2017 1000367漏洞...

黑客發現Switch系統漏洞 破解還會遠麼

一般遊戲機上市之後由於其產品特殊性,黑客們往往喜歡研究漏洞,從而達到破解的目的。任天堂switch剛剛上市不久,就已經有黑客開始研究了,而且還有人找出了系統的漏洞,這就意味著破解有可能很快完成。目前qwertyoruiop正在深入挖掘switch的系統,switch儘管作業系統可能不是源於freeb...

CTF CMS系統漏洞分析溯源 第3題

根據題意 想利用漏洞,我們需要先註冊乙個使用者,在註冊資訊中想方設法插入我們的一句話木馬。點 使用者註冊 來註冊乙個使用者,使用者名稱 登入密碼 郵件位址 等都可以隨便填寫,但 密碼問題 需要特別注意,要填寫 攛數畲整煺煥敞蹉v 悄 也就是a經過unicode轉碼後的 進入環境,再註冊頁面提交 問吧...