IPS入侵逃逸技术分析与防御讲述.doc

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
IPS入侵逃逸技术分析与防御讲述

IPS入侵逃逸技术分析与防御-杨永清 1. 概述 IPS也就是业界所说的入侵防御系统(Intrusion Prevention System);而它的作用就是能在线防御防火墙所不能防御的深层入侵威胁;而它的作用也决定了它将被布置在用户网络的入口位置,对输入和输出的数据流进行入侵检测与防御。在网络的入侵防御技术中,入侵逃逸是其中一个不可规避的问题,也是IPS必须要面对和解决的问题。 首先简单了解一下入侵逃逸技术的分类。入侵逃逸是相对与入侵防御技术而言的,在实际中两者也是攻防关系。由于两者都是通过技术手段来实现的。所以两者的技术也是在入侵攻防中不断发展的;入侵逃逸按技术方式分类,可以分为分片报文、拒绝服务、SQL注入等。其中分片报文是早期比较常见的,拒绝服务和SQL注入攻击是最近几年最常见到的。这也是近几年网络大发展所引发的安全问题。 下来我们通过两部分对几种入侵逃逸及IPS如何防御逃逸进行分析说明: 2. 几种逃逸攻击的简单分析 2.1 分片报文逃逸 分片报文攻击一般是利用协议漏洞或一些网络基础软件的漏洞进行攻击。 IP分片是在网络通讯中传输IP报文时采用的一种技术,可这种技术就存在一些安全隐患。最典型的就是通过IP分片技术进行拒绝服务攻击,当然还可用于躲避防火墙或者网络中IP分片重组能力欠缺设备。为了传送一个大的IP报文,IP协议栈根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易地把这些IP分片报文重组起来。而目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文(这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构)。如果攻击者给目标计算机中发送一片分片报文,而不发送所有的分片报文,这样目标计算机便会一直等待(直到一个内部计时器结束),如果攻击者发送了足够多的分片报文,就会消耗掉目标计算机的所有资源,而导致不能接收正常的IP报文。 分片报文组合一般是用于进行缓冲区攻击的一种。很早的微软漏洞MS03-026缓冲区溢出攻击就是利用TCP携带的三个数据包来实施攻击的。正常的三次握手后,第一个由客户机发送的首个数据包,是“BIND”信息。第二个和第三个数据包携带的是“REQUEST”信息。第二个数据包携带“REQUEST”包头,它会指定OPNUM和大部分的参数数据。由于第二个包放不下所有的参数数据,因此第三个数据包会携带其余的参数数据。因此,当目标服务器接收完所有三个数据包后,攻击就成功了。而对于网络中那些对数据重组功能欠缺的设备将无从检测与防御。 2.2 拒绝服务逃逸 DOS(Denial of Service)攻击是一种基于网络的、想办法阻止用户正常访问网络服务的攻击。DOS攻击一般是通过发起足够的网络请求连接,使服务器或运行在服务器上的程序耗尽服务器资源,从而使服务器无法正常响应甚至崩溃死机。 DOS攻击可以是对服务器的单一数据包攻击,也可以是通过多台主机联合对被攻击服务器发起洪水般的数据包请求攻击。在单一数据包攻击中,攻击者通过精心构造一个利用操作系统或应用程序漏洞的攻击包。而网络中的入侵防御设备都具有对单个包的分析检测能力,所以,越来越多的黑客更偏向于采用一种更复杂的DDOS的攻击方法。在DDOS攻击中,攻击者用多台机器来攻击一个目标。将洪水般的数据由多台机器通过网络传给目标服务器,达到目标服务器的网络阻塞,无法正常访问。还是就利用特别设计的数据包耗尽服务器资源(如SYN Flood),达到拒绝服务的目的。 DDOS由DOS攻击演变而来,这种攻击是攻击者利用在已经入侵并已经控制的机器(所谓的“傀儡机”)上安装DOS服务程序,它们等待来自攻击者的控制命令。攻击者在攻击时启动全体受控主机的DOS服务进程,让它们对一个目标服务器发送尽可能多的网络访问请求,形成一股DOS洪流冲击目标系统,猛烈的DOS攻击同一网站。在没有防御策略下目标网站会很快失去反应而不能及进处理正常的的访问甚至系统瘫痪崩溃。因为这种攻击来源于安装在网络中的多台机器上,这种攻击方式很难被攻击对象察觉,直到攻击者发出攻击命令,这些机器才同时发起进攻。由于此类攻击是通过组织遍布于广大网络上的大量计算机所发联合发起的攻击,因此采用简单的辨别和隔离技术是不能阻挡它们的。大部分情况下,很难将合法流量和非法流量区别开来。 DOS/DDOS攻击从实现手法来看,主要表现为两种,一种是利用漏洞实现DOS的攻击,如Teardrop,Ping of Death等,另外一种是通过模拟大量的实际应用流量达到消耗目标主机的资源,从而达到DOS/DDOS攻击的目的,通常DOS/DDOS攻击伴随着源IP地址欺骗

文档评论(0)

shuwkb + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档