在互聯(lián)網(wǎng)時(shí)代，企業(yè)不僅要考慮到自己互聯(lián)網(wǎng)安全，還要考慮到如何能夠通過(guò)互聯(lián)網(wǎng)讓企業(yè)更好地獲得信息共享，如果一味的考慮網(wǎng)絡(luò)安全，互聯(lián)網(wǎng)的便捷性就無(wú)從提起了。那么FTP作為信息傳說(shuō)的標(biāo)準(zhǔn)傳輸協(xié)議，企業(yè)在引進(jìn)IPS是自然會(huì)對(duì)其進(jìn)行監(jiān)控?？墒呛诳蜑榱藢?shí)施IPS攻擊規(guī)避，也盯上了FTP規(guī)避這條途徑。

為逃避IPS產(chǎn)品對(duì)FTP攻擊的識(shí)別與攔截，攻擊者通常在FTP命令中隨機(jī)添加一定數(shù)量的干擾字符（空格符、Telnet非文本控制符等），這些干擾字符在FTP服務(wù)器的處理過(guò)程中往往會(huì)被過(guò)濾掉。

假設(shè)攻擊者向FTP服務(wù)器發(fā)送如下命令：

CWD
 /test1/test2/test3/test4/test5/test6

向其添加干擾字符后我們得到如下圖所示的FTP請(qǐng)求：
 

FTP命令干擾示例

假設(shè)參數(shù)中包含“test2”的CWD請(qǐng)求會(huì)觸發(fā)FTP服務(wù)器的某一漏洞，IPS需要先于FTP服務(wù)器正確識(shí)別CWD請(qǐng)求命令，并過(guò)濾請(qǐng)求參數(shù)中是否存在“test2”這個(gè)特征，如果IPS不能在正確解析FTP協(xié)議的同時(shí)，準(zhǔn)確的濾除干擾字符，它最終看到的將是“txffxf3est2”進(jìn)而導(dǎo)致漏報(bào)發(fā)生，IPS攻擊規(guī)避因此發(fā)生。

【編輯推薦】

1. IPS攻擊規(guī)避技術(shù)之URL混淆
2. IPS攻擊規(guī)避技術(shù)之RPC協(xié)議規(guī)避
3. IPS攻擊規(guī)避技術(shù)之TCP/IP協(xié)議規(guī)避
4. 簡(jiǎn)述如何直接或間接攻擊NIDS
5. 黑客針對(duì)木馬及幾種罕見(jiàn)途徑繞過(guò)IDS