案例1：入侵檢測系統(tǒng)分片重組超時低于受害者分片重組的超時

[[104055]]

攻擊情形：

假設重組的IDS的分片超時是15秒，系統(tǒng)監(jiān)測一些Linux主機有一個默認的分片重組30秒超時。如下所示，第一次發(fā)送分片之后，攻擊者將發(fā)送一個15秒鐘延遲的第二塊分片（30秒內(nèi)）。

請記住，這里的第二個分片被IDS認可，由于超時，IDS已經(jīng)丟掉了第一個分片。因此，受害者將重組分片，并會收到入侵檢測系統(tǒng)的攻擊，而不會產(chǎn)生任何干擾或警報。

案例2：入侵檢測系統(tǒng)分片重組超時高于操作系統(tǒng)分片重組的超時

攻擊情形：

默認情況下，Snort可以有60秒的分片重組超時。相比之下，Linux/FreeBSD是30秒。這同樣可以規(guī)避。如下所示，假設攻擊者把攻擊的數(shù)據(jù)包分離為四個分片：1、2、3、4。

攻擊者發(fā)送一個虛假的有效載荷frag2和frag4（簡稱2'和4'），由受害者和入侵檢測系統(tǒng)接收。攻擊者一直等待，直到受害者分片重組超時結(jié)束，并丟棄（在這種情況下市30秒）初始分片。

這次攻擊的優(yōu)點在于，受害者仍然沒有收到分片1，因此ICMP錯誤信息將會被拋給受害者。然后，攻擊者發(fā)送的數(shù)據(jù)包（1，3）存在著合法的有效載荷。在此階段中，受害者僅僅收到1，3分片，而入侵檢測系統(tǒng)的收到的分片為1，2'，3，4'。記住，2，4分片是攻擊者發(fā)送虛假的有效載荷。

基于TTL攻擊

這個攻擊需要攻擊者對受害者網(wǎng)絡的拓撲結(jié)構(gòu)有所了解。這個信息可以使用諸如路由跟蹤之類的工具進行探測?；赥TL的攻擊如下所示：

攻擊者分解成3個分片進行攻擊。攻擊者發(fā)送一個大型的TTL值1片段，這個被IDS和受害者雙方的驗證認可。但是，第二個分片（frag2'）由攻擊者發(fā)送為TTL值1，同樣包含虛假的有效載荷。這個分片被IDS認可，而路由器收到丟棄的TTL值現(xiàn)在將減少為零。

然后，攻擊者發(fā)送一個有效的TTL3分片。這使得IDS能夠執(zhí)行，而受害者的TCP分片（1，2'，3）重組，仍在等候第三分片。攻擊者發(fā)送的最后一個有效載荷第三分片和受害者執(zhí)行的分片（1，2，3）進行重組，并實施攻擊。在這個階段，IDS只有3個分片，因為它早已履行了重組，并且數(shù)據(jù)流已被刷新。

分片重疊攻擊

這個攻擊方式是基于對IP頭的分片偏移量進行控制。分片偏移量告訴目的系統(tǒng)該分片位于大包的什么位置。在這種情況下，攻擊者為每個IP包創(chuàng)建了兩個或更多的分片。

第一個分片和最后分片的策略，如下圖解釋。

攻擊者進行了4個分片的攻擊。攻擊者發(fā)送分片1，2和3，使這兩個操作系統(tǒng)接收?，F(xiàn)在，攻擊者發(fā)送分片2'，3'和4。在這里，有效載荷的分片2'和3'與分片2和3不相同，但分片偏移量和IP頭長度保持不變。

在這種情況下，一個操作系統(tǒng)做了一個分片重組策略，首先建立在第一個策略的基礎上，希望能夠重組最后的分片，將分片1，2'，3'，4和分片1,2,3,4重組一起。記住，在不同的操作系統(tǒng)中，所采用的分片重組策略也會有所不同。

IDS和IPS的規(guī)避對策

基于網(wǎng)絡的IDS和IPS在網(wǎng)絡中監(jiān)聽攻擊，然而基于主機的IDS和IPS程序則是運行在可能遭受攻擊的終端系統(tǒng)上。例如，你可能在一個敏感的Web服務器、DNS服務器或郵件服務器上運行一個基于主機的IDS或IPS代理。這些基于主機的技術運行在終端主機上，如下圖所示，這種技術很少考慮規(guī)避策略。大多數(shù)IDS和IPS規(guī)避技術主要欺騙基于網(wǎng)絡的程序，這是因為基于網(wǎng)絡的程序不能理解在終端系統(tǒng)上出現(xiàn)的一系列包的整個前后關系。在一些FragRouter，F(xiàn)ragRoute和Nikto這些程序就采用了這個技術原理。運行在終端系統(tǒng)上的基于主機的IDS和IPS強調(diào)了這一點。它們知道通信中更為完整的上下文信息，并且可以對終端系統(tǒng)上將發(fā)生什么做出可靠的判斷?；谥鳈C的IDS和IPS可以查看日志、系統(tǒng)配置和系統(tǒng)的行為，從而確定攻擊者真正做了什么，而不是試圖通過查看包來解釋目前正在發(fā)生的事情。

例如，在進行實現(xiàn)的分片攻擊通過使用常見的重疊分片來試圖欺騙目標中基于網(wǎng)絡的IDS和IPS系統(tǒng)。在包被目標的TCP/IP棧重組之后，基于主機的IDS和IPS程序分析攻擊者在目標系統(tǒng)上的蹤跡。類似地，許多應用層規(guī)避技術，對于基于主機的程序可以監(jiān)視終端系統(tǒng)中攻擊者所進行的變化?；谥鳈C的防御程序，包括商業(yè)IDS和IPS產(chǎn)品，如思科安全代理（CSA）和McAfee的Entercept，進行檢測的顆粒度可以比基于網(wǎng)絡的IDS和IPS產(chǎn)品的檢測顆粒度更細。

我再次提醒，基于主機的IDS或IPS僅能防御其所安裝的主機，然而基于網(wǎng)絡的IDS或IPS可以對整個局域網(wǎng)進行監(jiān)控。舉一個例子：基于主機的程序像是在特定的房子中尋找夜賊的警察，基于網(wǎng)絡的攻擊則像是為了尋找也賊在附近盤旋的警用直升機。當然，夜賊可以通過偽裝來欺騙直升機，但是房子中的警察可以注意到一些偷竊家里財物的人，甚至是偽裝的騙子。盡管如此，在每棟房子中安排一名警察的代價是極其昂貴的。正如在這個例子中所說的，與基于主機的IDS和IPS相比，基于網(wǎng)絡的IDS和IPS的部署代價更低。最后，一個好的IDS和IPS部署通?？梢酝瑫r實現(xiàn)基于網(wǎng)絡和基于主機的程序。

尾聲

在執(zhí)行掃描時，攻擊者使用各種技術來避開IDS和IPS的檢測?？稍诰W(wǎng)絡層和應用層實施規(guī)避技術。為了對付IDS和IPS規(guī)避技術，需要及時更新IDS和IPS系統(tǒng)，并同時實現(xiàn)基于網(wǎng)絡的和基于主機的IDS和IPS。最后，有疑問請寫信件發(fā)送至我的信箱（Hack01[at]Live.cn）。

# HACKER NETSPY [C.Z.Y]