荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: hellsolaris (qq), 信区: Security
标 题: IDS欺骗之Fragroute(上)(3)
发信站: 荔园晨风BBS站 (Sat Nov 1 13:03:14 2003), 站内信件
IDS欺骗之Fragroute(上)(3)
作者:nixe0n 文章来源:www.cnsafe.net 2002年07月18日
3.1.1.搀杂无效数据的技术
使用这种技术,攻击者在其发出的攻击数据中,搀杂一些只能被IDS接受的数据,从而影
响IDS的正常检测。一般攻击者主要通过使用错误的包头域或者IP选项错误的数据包实现
这个目的。
错误的包头域
这是最早被攻击者采用的一种攻击方式。攻击者构造坏的IP包头域,使攻击目标能
够丢弃这个包,而让NIDS能够接受这个数据包,从而在NIDS接收的数据中插入无效的数
据。不过,这种技术有两个问题。路由器会丢弃这种数据包,因此这种技术很难用于远
程攻击,除非IDS和攻击者是在同一个LAN中。另外一个问题是IDS是否能够以攻击者设想
的方式解释具有坏包头的数据包。例如,如果使用错误的IP包头的大小,会使IDS无法定
位传输控制层的位置,因此,不是每个IP包头的域都是可以使用的。一般使用校验和、T
TL和不可分片(DF)等包头域。
校验和域的错误很容易被IDS忽视。有的IDS不校验数据包的校验和,因此不会丢弃
校验和错误的数据包。但是,绝大多数系统的TCP/IP协议栈都会丢弃校验和错误的IP数
据包。
TTL(Time To Live)也是一个可以利用的包头域,它表示一个IP分组从源地址到达目
的地址最多可以经过多少跳(hop),一个在互联网上传输的IP分组,每经过一个路由器它
的TTL就会减一,如果这个分组在到达目的地址之前,TTL变成0,就会被丢弃。根据这个
原理,如果IDS和目标系统不在同一个网段上,我们可以构造IP分组的TTL域,使分组刚
好能够到达IDS,而不能到达目标系统,从而在IDS中插入无用信息。
最后攻击者常用的IP包头域是DF,这个位表示如果这个IP分组超过了转发设备允许
的最大长度,是否可以分片。如果IP分组的DF标志被设置为1,就表示这个分组不能被分
片,当它超过了转发设备的允许的最大长度时,就会被丢弃。因此,如果NIDS允许的最
大数据包长度大于其监视的系统,我们就可以使包含垃圾信息的分组大小介于两者之间
,从而在IDS中插入垃圾信息。
这些技术在原理上看起来比较容易,但是在实际应用过程中,需要对目标网络和系
统的情况有非常深刻的了解才能实施,否则成功的几率非常小:)。
IP选项
错误的校验和问题不难解决,只要使IDS对错误校验和的分组采用与其它系统相同的
处理方式就可以了。IP分组的选项域也可以被攻击者用来给IDS插入垃圾信息。对于IP选
项,各种系统的处理方式差别很大,因此很容易使攻击者诡计得逞。
攻击者最为常用的IP选项就是严格源路由(strict source routed)选项。一般情况
下,如果自己的地址没有出现在IP分组的源路由表中,系统就会丢弃收到的IP分组。有
些系统可以配置为自动丢弃包含严格源路由选项的IP分组。这就给IDS的处理带来了很大
的困难。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店