眾所周知，IDS作為傳統(tǒng)的安全防護(hù)技術(shù)，黑客攻擊者已經(jīng)可以實現(xiàn)規(guī)避IDS系統(tǒng)，那么作為IDS系統(tǒng)的衍生物，IPS攻擊規(guī)避是否會發(fā)生呢？答案是肯定的，如今IPS攻擊規(guī)避已經(jīng)可以實現(xiàn)，本篇文章就將著重講述通過TCP/IP協(xié)議實現(xiàn)IPS攻擊規(guī)避。

TCP/IP協(xié)議的抗規(guī)避處理難點主要集中在TCP協(xié)議上。TCP協(xié)議是端到端的復(fù)雜流式可靠傳輸協(xié)議，它的序列號、窗口，以及重傳等保障可靠傳輸?shù)臋C(jī)制，會給IPS的檢測帶來很大困難，IPS只能被動地跟蹤通信雙方的數(shù)據(jù)及狀態(tài)變化，通過實時的數(shù)據(jù)流重組以進(jìn)行檢測。

IPS必須內(nèi)置TCP狀態(tài)跟蹤及流匯聚機(jī)制，以確保對TCP會話的持續(xù)跟蹤和分析。然而在數(shù)據(jù)傳輸過程中，一旦出現(xiàn)數(shù)據(jù)包順序錯亂，報文丟失或重傳等問題，很多IPS的檢測機(jī)制就會失效，一些規(guī)避攻擊恰恰利用這個缺陷，得以繞開IPS的檢測。

歸結(jié)起來，針對TCP/IP協(xié)議的IPS攻擊規(guī)避技術(shù)，主要包括如下幾種實現(xiàn)方式：

通過重傳機(jī)制發(fā)送干擾數(shù)據(jù)包（TTL、校驗和、窗口大小、序列號、標(biāo)志位、時間戳等異常的數(shù)據(jù)包）和正常數(shù)據(jù)包，在正常數(shù)據(jù)包中嵌入攻擊負(fù)載，終端的TCP/IP協(xié)議棧會丟棄干擾數(shù)據(jù)包，并將載有攻擊的正常數(shù)據(jù)匯聚起來提交給應(yīng)用程序。

通過利用TCP協(xié)議的序列號或IP協(xié)議的片偏移機(jī)制，對數(shù)據(jù)包進(jìn)行細(xì)小劃分，并打亂發(fā)送順序（逆序，亂序）。

利用攻擊目標(biāo)的協(xié)議棧特性，將數(shù)據(jù)以前重疊或后重疊的方式發(fā)送，例如下圖所示，Windows會傾向于先到的數(shù)據(jù)流分段，而Solaris傾向于后到的數(shù)據(jù)流分段。

在VISTA中如上所示的數(shù)據(jù)會被匯聚為“HELLO,WORLD！”，而在Solaris系統(tǒng)中會被匯聚為“HELP!,VIRUS!”，這就要求IPS產(chǎn)品不僅能夠?qū)崿F(xiàn)一個完整的TCP/IP協(xié)議棧，還要能夠根據(jù)保護(hù)目標(biāo)的類型進(jìn)行重組策略的調(diào)整。

TCP/IP協(xié)議的規(guī)避技術(shù)，早在1998年發(fā)表的論文《Insertion, Evasion, and Denial of Service : Eluding Network Intrusion Detection》中就已經(jīng)被詳細(xì)的描述。然而，目前大多數(shù)的IPS產(chǎn)品仍未具備完善的數(shù)據(jù)重組能力，這給入侵成功創(chuàng)造了很大空間。
 

【編輯推薦】

1. 簡述如何直接或間接攻擊NIDS
2. 黑客針對木馬及幾種罕見途徑繞過IDS
3. 黑客針對緩沖區(qū)溢出繞過IDS的方式
4. 黑客針對HTTP請求繞過IDS的八種方式
5. 如何在Ubuntu上安裝Snort入侵檢測系統(tǒng)