NIDS，即網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，主要是用于檢測(cè)Hacker或Cracker通過網(wǎng)絡(luò)進(jìn)行的入侵行為。企業(yè)通過部署NIDS試圖保證自己的網(wǎng)絡(luò)安全。但是有了充分的防范不代表黑客們就不會(huì)去嘗試攻擊你，要知道黑客是十分樂于嘗試有挑戰(zhàn)的事情。本文就簡(jiǎn)單的介紹一下攻擊NIDS的兩種途徑：直接攻擊NIDS和間接攻擊NIDS。

1.如何直接攻擊NIDS

直接對(duì)NIDS進(jìn)行攻擊。因?yàn)镹IDS是安裝在一定的操作系統(tǒng)之上，而且本身也是一個(gè) 復(fù)雜的TCP/IP操作系統(tǒng)，這意味著NIDS本身可能受到smurf、synflood或jolt2等攻擊。如果安裝IDS的操作系統(tǒng)本身存在漏洞或IDS自身防御力差，此類攻擊很有可能造成IDS的探測(cè)器丟包、失效或不能正常工作。但是隨著IDS技術(shù)的發(fā)展，一些NIDS采用了雙網(wǎng)卡的技術(shù)，一個(gè)網(wǎng)卡綁定IP，用來(lái)與console（控制臺(tái)）通信，另外一個(gè)網(wǎng)卡無(wú)IP，用來(lái)收集網(wǎng)絡(luò)數(shù)據(jù)包，其中連在網(wǎng)絡(luò)中的是無(wú)IP的網(wǎng)卡，因?yàn)闆]有IP，所以不能直接攻擊，而且新的IDS一般采用了協(xié)議分析的技術(shù)，提高了IDS捕捉和處理數(shù)據(jù)包的性能，所以直接攻擊NIDS這種方法已經(jīng)行不通了。

2.如何間接攻擊NIDS

一般的NIDS都有入侵響應(yīng)的功能，如記錄日志，發(fā)送告警信息給console、發(fā)送警告郵件，防火墻互動(dòng)等，我們可以利用IDS的響應(yīng)進(jìn)行間接攻擊，使入侵日志迅速增加，塞滿硬盤；發(fā)送大量的警告信息，使管理員無(wú)法發(fā)現(xiàn)真正的攻擊者，并占用大量的cpu資源；發(fā)送大量的告警郵件，占滿告警信箱或硬盤，并占用接收警告郵件服務(wù)器的系統(tǒng)資源；發(fā)送虛假的警告信息，使防火墻錯(cuò)誤配置，造成一些正常的IP無(wú)法訪問等！

在目前來(lái)看，攻擊NIDS最有效的辦法是利用Coretez Giovanni寫的Stick程序，Stick使用了很巧妙的辦法，它可以在2秒內(nèi)模擬450次攻擊，快速的告警信息的產(chǎn)生會(huì)讓IDS反應(yīng)不過來(lái)、產(chǎn)生失去反應(yīng)甚至死機(jī)現(xiàn)象。由于Stick發(fā)出多個(gè)有攻擊特征（按照snort的規(guī)則組包）的數(shù)據(jù)包，所以IDS匹配了這些數(shù)據(jù)包的信息時(shí)，就會(huì)頻繁發(fā)出警告，造成管理者無(wú)法分辨哪些警告是針對(duì)真正的攻擊發(fā)出的，從而使IDS失去作用。當(dāng)有攻擊表現(xiàn)的信息包數(shù)量超過IDS的處理能力的話，IDS會(huì)陷入拒絕服務(wù)狀態(tài)。Stick對(duì)許多IDS有影響，ISS公司的產(chǎn)品也不例外，該公司的產(chǎn)品中曾有"RealSecure Network Sensor 5.0"的Windows NT/2000版受到了影響，后來(lái)ISS發(fā)布了補(bǔ)丁，好像已經(jīng)解決了這個(gè)問題。但其它一些公司的IDS，如snort，因?yàn)镾tick發(fā)送的是按snort規(guī)則組成的包，所以用Stick攻擊裝有snort的網(wǎng)絡(luò)時(shí)，會(huì)產(chǎn)生大量的日志記錄。
 

【編輯推薦】

1. 如何構(gòu)建入門級(jí)IDS
2. IDS漏洞分析與黑客入侵手法
3. 黑客針對(duì)木馬及幾種罕見途徑繞過IDS
4. 黑客針對(duì)緩沖區(qū)溢出繞過IDS的方式
5. 黑客針對(duì)HTTP請(qǐng)求繞過IDS的八種方式