荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: hellsolaris (qq), 信区: Security
标  题: IDS欺骗之Fragroute(上)(2)
发信站: 荔园晨风BBS站 (Sat Nov  1 13:01:44 2003), 站内信件

IDS欺骗之Fragroute(上)(2)
作者:nixe0n    文章来源:www.cnsafe.net  2002年07月18日



3.网络层和传输控制层IDS欺骗技术


在介绍fragroute之前,我们首先要介绍一些fragroute实现的技术,这些技术主要是在
网络层和传输控制层。除此之外,还有一些应用应用层的技术,不过,在本文中将不多
做赘述。如果您希望了解更多信息,可以参考Insertion,Evasion and Denial of
Service: Eluding Network Intrusion Detection、IDS Evasion Techniques and
Tactics、IDS Evasion with Unicode、 A Look At Whisker’s Anti-IDS Tactics和Po
lymorphic Shellcodes vs. Application IDSs等文档。

3.1.网络层技术

我们首先讨论网络层(IP)的IDS欺骗技术。互联网协议(Internet Protocol)提供一种无
连接和不可靠的分组投递服务(RFC791)。它会尽最大努力投递IP分组,但是不能保证分
组能够正确地投递到目的地。为了能够更好地理解本文讨论的IDS欺骗技术,我们先看一
下IP分组的结构:


0 4 7 15 31
| | | | |
------------------------------------------|
| Ver|head|type of | total length |
| (4)|len |service | (in bytes) |
|-----------------------------------------|
| identification |0|D|M| fragment |
| | |F|F| offset |
|-----------------------------------------|
| time to | proto | header of |
| live(TTL)| | checksum |
|-----------------------------------------|
| source address(32 bytes) |
|-----------------------------------------|
| destination address(32 bytes) |
|-----------------------------------------|
/ /
option
/ /
|-----------------------------------------|
/ /
data
/ /
|-----------------------------------------|



图3-1.IP分组结构

如图3-1所示,每个IP分组的长度都是4个字节的倍数,各个域的意义如下:

4位版本号,一般为4。

以4个字节为单位的分组头的长度,取值范围5-15(默认值5)。

8位的服务类型(Type Of Service,TOS),服务类型的前3位设置分组的优先级,数值越大
,则分组越重要。接下来的3位分别表示延迟、吞吐率和可靠性,如果为0则表示常规服
务,如果为1则表示短延迟、高吞吐率和高可靠性。最后两位没有使用。

16字节的总长度,单位是字节,包括分组头和数据的长度。

标志符(identification)长度16位,唯一地标识该IP分组。IP分组在传输过程中,期间
可能通过一些子网,这些子网间允许的最大协议数据单元(PDU)可能小于该IP分组的长度
。为了处理这种情况,IP协议为一数据报方式传输的IP分组提供了分片和重组的功能。
当一个路由器分割一个IP分组时,要把IP分组头中的大多数数据段复制到分片中,标志
符段是必须复制的数据段。到达目的地之后,目标主机就是通过这个标志符来确定分片
属于那个IP分组。

3位的标志段,低序两位分别控制IP分组是否可以分片(DF位)和是否是最后一个碎片(MF
位),还有一位没有定义。

13位的碎片偏移表示IP碎片在原始IP分组中的偏移。

生存时间设置分组在互联网中能够经过的跳数。

协议(protocol)段指定高层协议的类型,例如:ICMP是1、TCP是6、UDP是17。

校验和(checksum)保证IP分组头的完整性。

分别为32位的源地址和目的地址。

除了以上这些必需项之外,还可能包括一些任选项,例如源路由。

下面,我们将以此为基础讨论如何使用这些IP分组的域来欺骗IDS。


--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店