我們知道，IDS作為企業(yè)防護(hù)系統(tǒng)也不是萬能的，黑客可以通過針對(duì)HTTP請(qǐng)求和緩沖區(qū)溢出繞過IDS防護(hù)。除了針對(duì)HTTP和緩沖區(qū)溢出的欺騙模式，針對(duì)木馬繞過IDS的方式也十分常見，但是可以繞過IDS防護(hù)的方法并不只有上述三種，還有一些不太常用的途徑也應(yīng)該引起注意。

針對(duì)木馬以繞過IDS

IDS檢測(cè)木馬和后門程序一般是通過端口來判斷的，一般是通過后門程序的默認(rèn)端口的連接來判斷的，如Netspy的默認(rèn)端口是7306，BO2k的默認(rèn)端口是54320（1），所以只要后門程序不使用默認(rèn)值就可以逃過一些IDS的法眼。目前大部分后門程序的通信都已采用加密的方式，所以目前的大部分NIDS只能通過非正常端口建立連接來判斷，如果后門程序采用正常的端口進(jìn)行通信，IDS就很有可能漏報(bào)！

緩慢掃描：

一般的IDS是通過在一定時(shí)間內(nèi)某個(gè)IP掃描過的端口數(shù)或IP數(shù)是否超過閥值來判斷是否掃描，所以如果掃描的間隔超過IDS中指定的時(shí)間，而且采用多個(gè)IP協(xié)同掃描的話，IDS就不能判斷攻擊者是否掃描。

地址欺騙：

利用代理或者偽造IP包進(jìn)行攻擊，隱藏攻擊者的IP，使NIDS不能發(fā)現(xiàn)攻擊者所在。目前的NIDS只能根據(jù)異常包中的地址判斷攻擊來源。

利用LLKM處理網(wǎng)絡(luò)通信：

利用LLKM簡(jiǎn)單、臨時(shí)改變TCP/IP協(xié)議棧的行為，如更改出現(xiàn)在網(wǎng)絡(luò)傳輸線路上的TCP標(biāo)志位，躲避一些IDS的監(jiān)視。

復(fù)雜的TCP/IP包處理：

利用IDS不能正確模擬所有的TCP/IP棧的可能行為，對(duì)TCP/IP數(shù)據(jù)包進(jìn)行特殊的處理以避過IDS。如將TCP/IP包分成很小的碎片，或者是打亂包的發(fā)送順序，或者是發(fā)送重疊的包，或者是包含有不正確校驗(yàn)和、不正確序列號(hào)等，正常的TCP/IP軟件可以正確重組和處理包，而有相當(dāng)多的NIDS不能正確處理這些包，所以會(huì)忽略基于這種特殊包的攻擊。

測(cè)試NIDS關(guān)于TCP/IP包的處理能力，可以使用fragrouter 或者 Cybercop Scanner。 
 

【編輯推薦】

1. 如何構(gòu)建入門級(jí)IDS
2. IDS漏洞分析與黑客入侵手法
3. 測(cè)試評(píng)估IDS的性能指標(biāo)
4. 黑客針對(duì)緩沖區(qū)溢出繞過IDS的方式
5. 黑客針對(duì)HTTP請(qǐng)求繞過IDS的八種方式