如何用网络入侵检测系统防范黑客攻击

3.将整个request在同一个tcpsession中切割成多个仅内含几个字符的小packet，网络入侵检测若没将整个tcpsession重建，则入侵检测系统将仅能看到类似“get”、“/cg”、“i”、“-bin”、“/phf”的个别packet，而不能发现重组回来的结果，因为它仅单纯地检查个别packet是否出现类似攻击的字符串。类似的规避方式还有ipfragmentationoverlap、tcpoverlap等各种较复杂的欺瞒手法。


二、“猎杀”及重调安全政策的漏洞



所谓“猎杀”，就是在服务器中设定一个陷阱，如有意打开一个端口，用检测系统对其进行24小时的严密盯防，当黑客尝试通过该端口入侵时，检测系统就会及时地将其封锁。网络入侵检测系统的“猎杀”及重新调整防火墙安全政策设置功能，虽然能即时阻断攻击动作，但这种阻断动作仅能适用tcpsession，要完全限制，就必须依赖重新调整防火墙安全政策设置的功能，同时也可能造成另一种反效果：即时阻断的动作会让攻击者发现ids的存在，攻击者通常会寻找规避方式，或转向对ids进行攻击。重新设置防火墙的安全政策，若设置不当，也可能造成被攻击者用来做阻断服务(denialofservice)攻击的工具：经过适当的设计，若网络入侵检测的检查不足，攻击者可以伪装成其他的正常ip来源进行攻击动作，入侵检测系统若贸然限制这些来源的ip，将会导致那些合法用户因攻击者的攻击而无法使用。论是识别方式的设计，还是所谓的“猎杀”及重新设置防火墙安全政策的设置功能，都有其利弊。能够实地了解入侵检测系统的识别方式，或进行其识别手法的调整，将有助于提高入侵检测系统运作的正确性。对“猎杀”及重新调整防火墙安全政策设置功能工具的使用，则应仔细评估其效益与相应的损失，这样才能有效地发挥网络入侵检测系统的功能。 内容来自dedecms
dedecms.com

看完这篇，您有何感觉呢？

上一篇：绕过主动防御 木马病毒刺穿卡巴斯基   下一篇：对Autorun.inf类U盘病毒的攻防经验总结

用户名(必填) 新注册

密码(必填) 匿名评论