隨著互聯(lián)網(wǎng)應(yīng)用的日漸普及，網(wǎng)絡(luò)安全問題也越發(fā)突出。網(wǎng)絡(luò)安全廠商和黑客集團(tuán)在各個領(lǐng)域展開了激烈的斗爭，自從IDS系統(tǒng)被企業(yè)引入之后，黑帽集團(tuán)就在不斷的推出IDS躲避技術(shù)，而開發(fā)者們?yōu)榱藨?yīng)對IDS躲避技術(shù)又在產(chǎn)品中加入了IDS躲避技術(shù)的檢測。但是由于產(chǎn)品本身的局限性，勝利的天平更傾向于黑帽們。本文將講述一些基本的IDS躲避技術(shù)以及應(yīng)對方法。

1.字符串匹配的弱點

針對基本字符串匹配弱點的IDS躲避技術(shù)是最早被提出和實現(xiàn)的。一些基于特征碼的入侵檢測設(shè)備幾乎完全依賴于字符串匹配算法，而對于一個編寫很差的特征碼，攻擊者可以輕松地破壞對其的字符串匹配。雖然不是所有的入侵檢測系統(tǒng)都是純粹基于特征碼檢測的，但是絕大多數(shù)對字符串匹配算法有很大的依賴。這里，我們將使用開放源碼工具snort的特征碼來進(jìn)行討論。

在UNIX系統(tǒng)中，/etc/passwd是一個重要的文件，它包含用戶名、組成員關(guān)系和為用戶分配的shell等信息。我們就從監(jiān)視對/etc/passwd文件的訪問開始，下面是用于檢測的snort檢測規(guī)則：

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";

flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122;rev:1)

snort使用字符串匹配算法對包含特征碼(/etc/passwd)的HTTP請求進(jìn)行檢測。但是，這個規(guī)則的特征碼過于簡單了，攻擊者修改攻擊字符串可以很輕松地逃過檢測(我們暫時不考慮攻擊請求是通過HTTP發(fā)出的)。例如，把攻擊請求由GET /etc/passwd改為GET /etc/////passwd，或者GET /etc/rc.d/.././/passwd，修改方式簡直不計其數(shù)。這是最基本的娶親檢測逃避技術(shù)，對這種技術(shù)的檢測也相對容易一些，只要在編寫特征碼時能夠仔細(xì)考慮一下攻擊可能出現(xiàn)的變體。目前大多數(shù)流行入侵檢測系統(tǒng)都有非常強(qiáng)大的字符串匹配能力，足以檢測此類攻擊的大多數(shù)變體。不過，仍然有些編寫不太好的特征碼可以給攻擊者以可乘之機(jī)。

攻擊者還可以在此基礎(chǔ)上再加以變化，幾乎不費(fèi)吹灰之力就可以加大入侵檢測系統(tǒng)的防御難度。例如在telnet之類的交互會話中，攻擊者企圖讀取/etc/passwd文件。通常，入侵檢測系統(tǒng)中存在很多特征碼一些誤用操作和后門等，但是這些特征碼一般只包含黑客工具名、文件名和程序名。在獲得/etc/passwd文件的內(nèi)容時，我們不直接輸入cat /etc/passwd等命令行，而是通過一個命令解釋器(例如：perl)來實現(xiàn)我們的目的：

badguy@host$ perl -e

‘$foo=pack(“C11”,47,101,116,99,47,112,97,115,115,119,100);

@bam=`/bin/cat/ $foo`; print”@bam/n”;’

從這個命令中，入侵檢測系統(tǒng)根本就不會重組出/etc/passwd這些字符。顯然，防御這種攻擊就很困難了，因為這要求入侵檢測系統(tǒng)必須能夠理解這種解釋器如何收到的命令，這恐怕不太現(xiàn)實。當(dāng)然，入侵檢測系統(tǒng)也可以對使用解釋器的可疑行為進(jìn)行報警，但是它很難對攻擊行為進(jìn)行精確的監(jiān)視。

通過把字符串處理技術(shù)和字符替換技術(shù)結(jié)合到一起，我們可疑實現(xiàn)更復(fù)雜的字符串偽裝。對于WEB請求，我們不必使用命令解釋器，在我們的請求中使用16進(jìn)制的URL即可，以下的請求可以被目標(biāo)WEB服務(wù)器解釋為/etc/passwd：

GET %65%74%63/%70%61%73%73%77%64

或者

GET %65%74%63/%70a%73%73%77d

為了捕獲這一個字符串的所有變體，你可能需要1000個以上的特征碼進(jìn)行字符串匹配，這還沒有考慮UNICODE。UNICODE提供了另一種字符表達(dá)方式。有關(guān)UNICODE的IDS欺騙技術(shù)細(xì)節(jié)，本文將不多做討論。如果想了解更多細(xì)節(jié)請參考SecurityFocus的IDS Evasion with Unicode。除此之外，RainForestPuppy在他的HTTP掃描工具Whisker中采用了另外一些IDS欺騙技術(shù)：

-I 1 IDS-evasive mode 1 (URL編碼)

-I 2 IDS-evasive mode 2 (/./目錄插入)

-I 3 IDS-evasive mode 3 (過早結(jié)束URL)

-I 4 IDS-evasive mode 4 (長URL)

-I 5 IDS-evasive mode 5 (偽造參數(shù))

-I 6 IDS-evasive mode 6 (TAB分割) (not NT/IIS)

-I 7 IDS-evasive mode 7 (大小寫敏感)

-I 8 IDS-evasive mode 8 (Windows分割符)

-I 9 IDS-evasive mode 9 (會話拼接) (slow)

-I 0 IDS-evasive mode 0 (NULL方法)

如果想了解上面這些方法的技術(shù)細(xì)節(jié)，可以參考A Look At Whisker's Anti-IDS Tactics。需要特別說明的是，rfp把whisker采用的anti-IDS技術(shù)單獨放到了libwhisker(使用perl編寫的)庫中，為其它的程序采用這些技術(shù)提供了很大的便利。另外，nessus和babelweb等掃描工具都有自己的應(yīng)用層入侵檢測躲避技術(shù)。

現(xiàn)在，IDS開發(fā)人員對各種網(wǎng)絡(luò)協(xié)議有了更深入的理解，并且入侵檢測設(shè)備在對數(shù)據(jù)包的負(fù)載進(jìn)行字符串匹配之前會進(jìn)行必要的協(xié)議分析，因此現(xiàn)在的IDS已經(jīng)能夠很好地處理上述的欺騙技術(shù)了。但是多余的字符轉(zhuǎn)換又提高了入侵檢測系統(tǒng)的負(fù)載，有時是得不償失。為了減小這個負(fù)面影響，開發(fā)人員可以使入侵檢測系統(tǒng)只在特定的端口進(jìn)行字符轉(zhuǎn)換。#p#

2.多變shell代碼(polymorphic shell code)

多變shell代碼(polymorphic shell code)技術(shù)由K2開發(fā)的，設(shè)計思想來源于病毒逃避(virus evasion)技術(shù)。使用這種技術(shù)重新構(gòu)造的shell代碼更為危險，入侵檢測設(shè)備非常難以檢測到。這種技術(shù)只用于緩沖區(qū)溢出攻擊，對付基于特征碼的檢測系統(tǒng)非常有效，而對于智能化的或者基于協(xié)議分析的檢測系統(tǒng)的效果要差很多。為了便于討論，我們以SSH CRC32緩沖區(qū)為例。我們先看以下snort檢測規(guī)則：

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32

overflow /bin/sh"; flags:A+; content:"/bin/sh"; reference:bugtraq,2347;

reference:cve,CVE-2001-0144; classtype:shellcode-detect; sid:1324; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32

overflow NOOP"; flags:A+; content:"　90 90 90 90 90 90 90 90 90 90 90 90 90 90 90)

上面的第一條規(guī)則簡單地檢查從外部到$HOME_NET，目標(biāo)端口是22的數(shù)據(jù)包，搜索里面是否包含字符串/bin/sh。第二條規(guī)則是檢查是否包含x86空操作字符(0x90)。多變shell代碼(polymorphic shell code)使用很多方法逃避字符串匹配系統(tǒng)的檢測。首先(以x86架構(gòu)為例)，使用其它的字符代替0x90執(zhí)行無操作(no-op)指令。對于X86架構(gòu)，有55種替代方式，其它的要少一些。這些替代方式以一種偽隨機(jī)的方式結(jié)合到一塊，建立緩沖區(qū)溢出shell代碼包含無操作(no-op)指令的部分。除此之外，shell代碼本身也采用XOR機(jī)制編碼。通過這種方式建立的緩沖區(qū)溢出shell代碼被重組后不會包含以上的特征碼，從而能夠逃過字符串匹配檢測。

多變shell代碼檢測對基于特征碼檢測的IDS是一個很大的挑戰(zhàn)。Next Generation Security Technologie公司的技術(shù)白皮書Polymorphic Shellcodes vs. Application IDSs中提出了一些檢測多變shell代碼的設(shè)想。通過搜索無操作(no-op)字符的一個特定長度的正則表達(dá)式，可以實現(xiàn)對多變shell代碼的精確檢測。最近，Dragos Ruiu發(fā)布了一個用于檢測多變shell代碼的snort預(yù)處理插件spp_fnord，這個插件采用了和上面相似的檢測技術(shù)。這個預(yù)處理插件有端口和長度兩個配置選項。例如，如果某個人在配置時設(shè)置了80、21、23和53等端口，它就只對這幾個端口的數(shù)據(jù)流量進(jìn)行多變shell代碼的檢測，而不會對其它端口(例如：22)進(jìn)行檢測。

3.會話拼接(session splicing，叫會話分割更合適一些)

上面討論的這些方法都是屬于攻擊數(shù)據(jù)在一個數(shù)據(jù)包中的情況，沒有涉及攻擊數(shù)據(jù)和會話通過多個數(shù)據(jù)包投遞的情況。RFP在Whisker中實現(xiàn)了一種IDS逃避技術(shù)叫作會話拼接(session splicing)，就是把會話數(shù)據(jù)放到多個數(shù)據(jù)包中發(fā)出，例如：

+-------------------------+

packet number 　 content

---------------+---------

1 　 G

---------------+---------

2 　 E

---------------+---------

3 　 T

---------------+---------

4 　 20

---------------+---------

5 　 /

---------------+---------

6 　 H

+---------------+---------+

通過這種方式，每次只投遞幾個字節(jié)的數(shù)據(jù)，就可能避開字符串匹配入侵檢測系統(tǒng)的監(jiān)視。要監(jiān)視這種攻擊，需要入侵檢測系統(tǒng)或者能夠理解、監(jiān)視網(wǎng)絡(luò)會話(即使IDS有這種能力，攻擊者也可以通過其它的凡是避開監(jiān)視)，或者采用其它的技術(shù)監(jiān)視這種攻擊。snort使用以下規(guī)則來監(jiān)視會話拼接：

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC whisker

space splice attack"; content:"　20　"; flags:A+; dsize:1;

reference:arachnIDS,296; classtype:attempted-recon; reference)

這條規(guī)則使snort檢測目標(biāo)為$HTTP_SERVERS 80端口的ACK報文的負(fù)載長度是否等于1以及是否包含空格(16進(jìn)制的20)。使用這條規(guī)則可以精確地檢測出whisker，但是攻擊者只要稍加修改就可以避開這個檢測。為了能夠檢測可能出現(xiàn)的會話拼接攻擊，可以對上面這條snort規(guī)則進(jìn)行擴(kuò)展，使其檢查負(fù)載很短的HTTP請求。但是，這樣做的副作用是提高了誤報警數(shù)量，而且在某些情況下攻擊者還是能夠避開監(jiān)視。為了真正有效地檢測這種攻擊，需要入侵檢測系統(tǒng)能夠完整地理解網(wǎng)絡(luò)會話，不過這是非常困難的。應(yīng)該注意的是目前大多數(shù)系統(tǒng)能夠重組會話，在所有的會話數(shù)據(jù)到達(dá)之前，它們會等待一些時間。而等待時間的長短與程序有關(guān)。例如，Apache/RedHat的會話超時時間是6分鐘，IIS/Win2K等待的時間非常長。因此，攻擊者完全可以每15分鐘發(fā)送一個字節(jié)的會話數(shù)據(jù)，而IIS還會認(rèn)為是有效的會話。最新版本的snort能夠監(jiān)視長期的會話和網(wǎng)絡(luò)層欺騙，例如：小TTL值。

4.碎片攻擊

碎片攻擊和會話拼接(session splicing)有點類似。直到最近，很多入侵檢測系統(tǒng)在進(jìn)行字符串匹配之前不能準(zhǔn)確地重組碎片?，F(xiàn)在這種情況有了改觀，所有的入侵檢測系統(tǒng)都能夠進(jìn)行某些重組。不過，還是有很多方法可以避開入侵檢測系統(tǒng)的監(jiān)視。碎片重組的問題是在進(jìn)行字符串匹配以前，入侵檢測系統(tǒng)必須在內(nèi)存中緩存所有的碎片，然后進(jìn)行重組。而且，他還需要直到、碎片在目的主機(jī)會如何重組。Thomas Ptacek and Timoth Newsham于1998年寫的Insertion,Evasion and Denial of Service: Eluding Network Intrusion Detection描述了許多基于網(wǎng)絡(luò)的碎片躲避和其它類型的躲避技術(shù)。碎片攻擊包括：碎片覆蓋、碎片重寫、碎片超時和針對網(wǎng)絡(luò)拓?fù)涞乃槠夹g(shù)(例如使用小的TTL)等。下面，我們將詳細(xì)討論。

4.1.碎片覆蓋

所謂碎片覆蓋就是發(fā)送碎片覆蓋先前碎片中的數(shù)據(jù)。例如：

碎片1 GET x.idd

碎片2 a.?(緩沖區(qū)溢出數(shù)據(jù))

第二個碎片的第一個字符覆蓋第一個碎片最后一個字符，這兩個碎片被重組之后就變成了GET x.ida?(緩沖區(qū)溢出數(shù)據(jù))。實際情況遠(yuǎn)非這么簡單，更詳細(xì)的細(xì)節(jié)請參考爛文IDS欺騙之Fragroute篇(上)。

4.2.碎片數(shù)據(jù)覆蓋

這種方法和上面的碎片覆蓋有些類似，只不過是覆蓋全部的碎片數(shù)據(jù)，例如：

碎片1 GET x.id

碎片2 一些隨機(jī)的字符

碎片3 a.?(緩沖區(qū)溢出數(shù)據(jù))

這些碎片在經(jīng)過目標(biāo)系統(tǒng)的重組之后，碎片3將完全覆蓋碎片2，重組之后的數(shù)據(jù)變成GET x.ida?(緩沖區(qū)溢出數(shù)據(jù))。如果入侵檢測系統(tǒng)的重組方式和目標(biāo)系統(tǒng)不同，就無法重組出“GET x.ida?(緩沖區(qū)溢出數(shù)據(jù))”，因此就檢測不出這個攻擊。

4.3.碎片超時

這種攻擊依賴于入侵檢測系統(tǒng)在丟棄碎片之前會保存多少時間。大多數(shù)系統(tǒng)會在60秒之后將丟棄不完整的碎片流(從收到第一個碎片開始計時)。如果入侵檢測系統(tǒng)保存碎片的時間小于60秒，就會漏掉某些攻擊。例如：

碎片1(設(shè)置了MF位)GET foo.id

碎片2(59秒之后發(fā)出) a?(緩沖區(qū)溢出數(shù)據(jù))

如果IDS保存起始碎片的時間不到60秒，就會漏過攻擊。幸運(yùn)的是，如果配置沒有錯誤，現(xiàn)在的網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測此類攻擊。

這種技術(shù)結(jié)合其它的網(wǎng)絡(luò)技術(shù)(例如：TTL值)將更有威脅。如果入侵檢測系統(tǒng)和被監(jiān)視的系統(tǒng)不在同一個網(wǎng)段，攻擊者就可以在TTL上做手腳。有的單位由于經(jīng)費(fèi)的限制，不能在自己的每個子網(wǎng)都部署IDS節(jié)點，只在網(wǎng)絡(luò)的出入口部署一套IDS，監(jiān)視所有的網(wǎng)絡(luò)流量。這種情況下，如果被攻擊的主機(jī)在其它的子網(wǎng)，攻擊數(shù)據(jù)包到目標(biāo)系統(tǒng)的跳數(shù)就大于到IDS的跳數(shù)。攻擊者可以偽造碎片的TTL，使某些碎片剛好能夠到達(dá)，而無法到達(dá)目標(biāo)系統(tǒng)，例如：

碎片序號負(fù)載TTL(假設(shè)攻擊者到目標(biāo)的跳數(shù)是5，到IDS的跳數(shù)是3)

1 GET foo.id 5

2 evasion.html 3

3 a?(緩沖區(qū)溢出數(shù)據(jù)) 5

從這些碎片中，IDS重組的數(shù)據(jù)是“GET foo.idevasion.html a?(緩沖區(qū)溢出數(shù)據(jù))”或者“GET foo.idevasion.html”(如果IDS的超時時間小于60秒)。通過這種方式，攻擊者成功地在IDS中插入了垃圾數(shù)據(jù)。

5.碎片和snort特征碼

下面我們把上述攻擊和某些snort特征碼進(jìn)行比較。對于.ida緩沖區(qū)溢出攻擊，默認(rèn)的snort特征碼幾乎無法捕獲任何通過碎片發(fā)動的攻擊(如果使用了frag2預(yù)處理模塊，snort可以截獲碎片超時攻擊)。下面是針對.ida緩沖區(qū)溢出攻擊的snort檢測規(guī)則：

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS ISAPI

.ida attempt"; uricontent:".ida?"; nocase; dsize:>239; flags:A+;

reference:arachnIDS,552; classtype:web-application-attack;

reference:cve,CAN-2000-0071; sid:1243; rev:2;)

另外，snort還有一條檢測小碎片的規(guī)則，一旦發(fā)現(xiàn)太小的碎片，就會觸發(fā)這條規(guī)則：

alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC Tiny

Fragments"; fragbits:M; dsize: < 25; classtype:bad-unknown; sid:522)

但是，這樣還是不能檢測某些攻擊。還是以ida緩沖區(qū)溢出為例，這個攻擊實際上和請求的URI無關(guān)，因此攻擊者可以在前面加入一些垃圾數(shù)據(jù)以避免觸發(fā)碎片檢測規(guī)則。

碎片1 GET reallylongstringtoevadedetect.i

碎片2 da?(緩沖區(qū)溢出數(shù)據(jù))

這些技術(shù)并非只針對snort。Cisco Secure IDS也能夠進(jìn)行碎片重組，并且能夠?qū)ι鲜鏊槠暨M(jìn)行報警。

實際上，碎片攻擊要復(fù)雜的多，尤其是涉及到TTL和碎片覆蓋。

檢測碎片攻擊也非常困難。使IDS的碎片超時時間至少為60秒，增加對異常碎片的報警，最重要的是系統(tǒng)管理人員要對碎片攻擊的潛在威脅有清醒的認(rèn)識。2002年四月，Dug Song發(fā)布了Fragroute，引發(fā)了不小的震動。很快，snort社團(tuán)發(fā)布了能夠?qū)λ槠暨M(jìn)行更好檢測的snort1.8.6版。

6.拒絕服務(wù)

還有一種比較野蠻的方法就是拒絕服務(wù)。拒絕服務(wù)可以針對檢測設(shè)備本身和管理設(shè)備。Stick、snot和其它一些測試工具能夠是入侵檢測設(shè)備產(chǎn)生大量的報警。使用這些工具，可以達(dá)成如下目標(biāo)：

消耗檢測設(shè)備的處理能力，是真正的攻擊逃過檢測。

塞滿硬盤空間，使檢測設(shè)備無法記錄日志。

使檢測設(shè)備產(chǎn)生超出其處理能力的報警。

使系統(tǒng)管理人員無法研究所有的報警。

掛掉檢測設(shè)備。

對IDS來說，這類工具無跡可尋，因此非常難以對付。

結(jié)論

本文我們討論了一些常用的IDS躲避技術(shù)及其對策。其中有些技術(shù)需要攻擊者具有熟練的攻擊技巧，而有寫技術(shù)卻無需太多的技巧。而fragroute之類的工具出現(xiàn)，大大降低了攻擊者采用某些技術(shù)的難度，使防御的一方總是處于被動。希望這些東西對大家有點用。
 

【編輯推薦】

1. 通過網(wǎng)絡(luò)監(jiān)控檢測內(nèi)核入侵攻擊
2. 交換機(jī)的無線與有線入侵檢測
3. 如何在Linux下實現(xiàn)入侵檢測IDS
4. 假想案例談?wù)揑PS系統(tǒng)部署
5. 如何實現(xiàn)IPS系統(tǒng)深度檢測