IPS產(chǎn)品安全廠商與黑客的斗爭還在繼續(xù)，曾經(jīng)成功繞過IDS的他們面對(duì)這款企業(yè)防護(hù)系統(tǒng)也發(fā)起了攻擊，黑客們已經(jīng)可以同TCP/IP的漏洞進(jìn)行IPS攻擊規(guī)避，本次的文章我們將簡述通過RPC協(xié)議規(guī)避來實(shí)現(xiàn)IPS攻擊規(guī)避的目的。

MS-RPC和Sun/ONC RPC都允許應(yīng)用程序以分片的方式發(fā)送請(qǐng)求，這些分片在RPC服務(wù)器內(nèi)會(huì)被重新組裝成完整請(qǐng)求形式。攻擊者通過將不同程度的RPC碎片和不同的TCP傳輸機(jī)制進(jìn)行組合后，可以構(gòu)造出多種的規(guī)避方式。例如：在單TCP數(shù)據(jù)包中發(fā)送所有分片，在不同TCP數(shù)據(jù)包內(nèi)發(fā)送不同范圍的分片（如每個(gè)TCP數(shù)據(jù)包只攜帶一個(gè)RPC分片）等。

以MS08-059為例，Host Integration Server的RPC接口所暴露的一些方式，允許未經(jīng)認(rèn)證的攻擊者在服務(wù)器上執(zhí)行任意程序。RPC opcodes 1和6都允許攻擊者調(diào)用CreateProcess()函數(shù)并向其傳送命令行，這可能導(dǎo)致完全入侵服務(wù)器。利用這個(gè)漏洞，攻擊者可以發(fā)送如下所示的請(qǐng)求，來提升權(quán)限：

CMD/c net user admin admin /ADD

為逃避檢測IPS對(duì)這種異常權(quán)限提升行為的檢測，攻擊者可以對(duì)RPC請(qǐng)求進(jìn)行分片處理，下圖是在單TCP數(shù)據(jù)段內(nèi)進(jìn)行分片后的效果：
 

由于特征信息被“打散”，傳統(tǒng)的基于包特征匹配的方式很難處理這種規(guī)避，要檢測該攻擊需要依據(jù)DCERPC協(xié)議對(duì)RPC分片進(jìn)行重組。可見，面對(duì)IPS攻擊規(guī)避，IPS不僅需要能夠?qū)Φ讓訁f(xié)議進(jìn)行精確解析，還需要有非常細(xì)粒度的應(yīng)用層協(xié)議處理能力。

【編輯推薦】

1. IPS攻擊規(guī)避技術(shù)之TCP/IP協(xié)議規(guī)避
2. 簡述如何直接或間接攻擊NIDS
3. 黑客針對(duì)緩沖區(qū)溢出繞過IDS的方式
4. 黑客針對(duì)木馬及幾種罕見途徑繞過IDS
5. 黑客針對(duì)HTTP請(qǐng)求繞過IDS的八種方式