绕IDS

原创 2007年09月13日 20:41:00
入侵检测系统,英文简写为IDS,顾名思义,它是用来实时检测攻击行为以及报告攻击的。如果把防火墙比作守卫网络大门的门卫的话,那么入侵检测系统(IDS)就是可以主动寻找罪犯的巡警。 因而寻求突破IDS的技术对漏洞扫描、脚本注入、URL攻击等有着非凡的意义,同时也是为了使IDS进一步趋向完善。

  Snort是很多人都在用的一个IDS了,其实它也并不是万能的,笔者下面就来谈谈突破诸如Snort这类基于网络的IDS的方法:多态URL技术。

  提起多态二字,大家可能会联想到编写病毒技术中的“多态”、“变形”等加密技术,其实我这里所要讲的URL多态编码技术和病毒的多态变形技术也有神似之处,就是用不同的表现形式来实现相同的目的。

  对于同一个URL,我们可以用不同形式的编码来表示。IDS在实时检测时,将它检测到的数据与其本身规则集文件中规定为具有攻击意图的字符串进 行对比,如果相匹配的话,则说明系统正在受攻击,从而阻止攻击以及发出警报。因为实现同一目的的URL可以用不同的形式来表示,所以经过变形编码后的 URL可能就不在IDS的规则集文件中,也就扰乱了IDS的识别标志分析引擎,从而就实现了突破、绕过IDS的效果!

  多态URL编码技术有许多种,笔者在此介绍9种常用且有一定代表性的方法。为了便于讲解,这里以提交地址为/msadc/ msadcs.dll的URL来作为例。“/msadc/msadcs.dll”已经被收集到snort等各大IDS的规则集文件中,因而当我们向目标机 器直接提交/msadc/ msadcs.dll时都会被IDS截获并报警。

  第一招:“/./” 字符串插入法

  鉴于“./”的特殊作用,我们可以把它插入进URL中来实现URL的变形。比如对于/msadc/msadcs.dll,我们可以将它改写为 /././msadc/././msadcs.dll、/./msadc/.//./msadcs.dll等形式来扰乱了IDS的识别标志分析引擎,实现 了欺骗IDS的目的。而且改写后编码后的URL与未修改时在访问效果上是等效的。笔者曾经通过实验表明这种方法可以绕过Snort等IDS。

  第二招:“00 ” ASCII码

  前段时间动网上传漏洞就是利用的这一特性,大家肯定对此很熟悉了。它的原理就是计算机处理字符串时在ASCII码为00处自动截断。我们就可以 把/msadc/msadcs.dll改写为/msadc/msadcs.dll Iloveheikefangxian,用Winhex将.dll与Ilove之间的空格换为00的ASCII码,保存后再用NC配合管道符提交。这样在 有些IDS看来/msadc/msadcs.dll Iloveheikefangxian并不与它的规则集文件中规定为具有攻击意图的字符串相同,从而它就会对攻击者的行为无动于衷。瞧!“计算机处理字符 串时在ASCII码为00处自动截断”这一原理的应用多么广泛啊!从哲学上讲,事物之间相互存在着联系,我们应该多思考,挖掘出内在规律,这样就会有新的 发现。

  第三招:使用路径分隔符“/”

  对于像微软的IIS这类Web服务器,“/“也可以当“/”一样作为路径分隔符。有些IDS在设置规则集文件时并没有考虑到非标准路径分隔符 “/”。如果我们把/msadc/msadcs.dll改写为/msadc/ msadcs.dll就可以逃过snort的法眼了,因为snort的规则集文件里没有/msadc/ msadcs.dll这一识别标志。值得一提的是路径分隔符“/”还有个妙用,就是前段时间《黑客防线》上提到的“%5c”暴库大法,“%5c”就是 “/”的16进制表现形式。

  第四招:十六进制编码

  对于一个字符,我们可以用转义符号“%” 加上其十六进制的ASCII码来表示。比如/msadc/msadcs.dll中第一个字符“/”可以表示为%2F,接下来的字符可以用它们对应的16 进制的ASCII码结合“%”来表示,经过此法编码后的URL就不再是原先的模样了,IDS的规则集文件里可能没有编码后的字符串,从而就可以绕过 IDS。但是这种方法对采用了HTTP预处理技术的IDS是无效的。

第五招.非法Unicode编码

  UTF-8编码允许字符集包含多余256个字符,因此也就允许编码位数多于8位。“/”字符的十六进制的ASCII码是2F,用二进制数表示就 是00101111。UTF-8格式中表示2F的标准方法仍然是2F,但是也可以使用多字节UTF-8来表示2F。字符“/”可以像下表中所示使用单字 节、双字节、三字节的UTF-8编码来表示:

  “/”字符表示方式 二进制 十六进制

  单字节 0xxxxxxx 00101111 2F

  双字节 110xxxxx 10xxxxxx 11000000 10101111 C0 AF

  三字节 1110xxxx 10xxxxxx 10xxxxxx 11100000 10000000 10101111 E0 80 AF

  按照此方法,我们可以对整个字符串都进行相应的编码。虽然编码后的URL的最终指向的资源都相同,但它们的表达方式不同, IDS的规则集文件中就可能不存在此过滤字符串,从而就实现了突破IDS的目的。

  第六招: 多余编码法

  多余编码又称双解码。还记的2000-2001年IIS的Unicode解码漏洞和双解码漏洞闹得沸沸扬扬,那时有许多朋友稀里糊涂的以为 Unicode解码漏洞就是双解码漏洞,其实它们两者是两回事,前者的原理笔者已在上述的“非法Unicode编码”中有所描述。而多余编码就是指对字符 进行多次编码。比如“/”字符可以用%2f表示,“%2f”中的“%”、“2”、“f”字符又都可以分别用它的ASCII码的十六进制来表示,根据数学上 的排列组合的知识可知,其编码的形式有2的3次方,于是“%2f”可以改写为:“%25%32%66”、“%252f”等等来实现URL的多态,编码后的 字符串可能没被收集在IDS的规则集文件中,从而可以骗过有些IDS。

  第七招.加入虚假路径

  在URL中加入“../”字符串后,在该字符串后的目录就没有了意义,作废了。因此利用“../”字符串可以达到扰乱了识别标志分析引擎、突破IDS的效果!

  第八招:插入多斜线

  我们可以使用多个 “/”来代替单个的“/”。替代后的URL仍然能像原先一样工作。比如对/msadc/msadcs.dll的请求可以改为////msadc////msadcs.dll,经笔者曾经实验,这种方法可以绕过某些IDS。

  第九招:综合多态编码

  聪明的你一看这个小标题就知道了,所谓综合,就是把以上介绍的几种多态变形编码技术结合起来使用,这样的话效果会更好。

  后记:当我刚才提到“00 ASCII码”以及非标准路径分隔符“/”时,大家可能会倍感熟悉,因为这与前段时间流行的动网上传漏洞以及暴库大法有着密切联系。黑客是门艺术,黑客讲究的是灵感是思路,我们通过深入思考,旧的知识也可以创造出新的技术!

 
版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

ids for this class must be manually assigned before calling save()..

引起问题的原因: 由Hibernate根据数据库表自动生成的"类名.hbm.xml"映射文件引起的。 首先我的表(Info)由两个字段组成,即: int id;//主建 Str...

IDS、IPS和UTM的区别

IDS、IPS和UTM的区别        在许多人看来,入侵检测和入侵防御没什么区别,很多做入侵检测的厂商同时也做入侵防御,甚至连它们的缩写“IDS”和“IPS”都这么的相像.那么这两款产品有...

Certification、Provisioning、Keychain、APP IDs概述

1.  Certification(证书)  证书是对电脑开发资格的认证,每个开发者帐号有一套,分为两种: 1)   DeveloperCertification(开发证书) 安装在电脑上提供权...

IDS与防火墙

学习记录:          1. 入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络...

centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总

一、基本环境 虚拟机工具:Vmware Workstation Pro 12 Centos版本:CentOS-7-x86_64-Minimal-1511 Snort版本:snort-2.9.9....

[计算机网络-2] 浅析5款最常用的IDS(入侵检测系统)

入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,入侵检测系统是一种积极主动的安全防护技术。 入侵检测系...

home-ids-with-snort-and-snorby

参考: https://techanarchy.net/2015/01/home-ids-with-snort-and-snorby/需要的组件 snort 监控原始流量,并将原始流量与rules对...

IOS APP IDs

直接进入主题吧 说下 APP ID 的组成为  APP ID Prefix + APP ID suffix APP ID Prefix 为10个字符  你不用管它 APP I...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)