IDS技术原理概要.pptVIP

对数据包的不同处理方式 当处理到重叠的TCP/IP分片时，有些系统保留新数据，有些系统保留老数据，IDS处理重叠时可能与终端系统不同 Windows NT 4.0保留老数据 Linux保留新数据 终端系统可能会丢弃某些带了不被支持或不寻常的TCP/IP选项的数据包，IDS则可能还会处理那些包 终端系统可能被配置成丢弃源路由的包 终端系统可能丢弃有老时间戳的包 终端系统可能丢弃某些带有特殊TCP/IP选项组合的包 因为网络拓扑与数据包TTL值的设置，IDS和终端系统可能收到不同的数据包 更多的不同… 在进行TCP/IP分片的重组时，IDS与终端系统的所设定的超时可能不同，造成重组的结果不同 IDS与终端系统的硬件能力不同，导致一方能够完成的重组对另一方来说不可能完成 所有以上这些的不同，使下面的这几种攻击成为可能。 插入攻击 在数据流中插入多余的字符，而这些多余的字符会使IDS接受而被终端系统所丢弃。 逃避攻击 想办法使数据流中的某些数据包造成终端系统会接受而IDS会丢弃局面。 拒绝服务攻击 IDS本身的资源也是有限的，攻击者可以想办法使其耗尽其中的某种资源而使之失去正常的功能 CPU，攻击者可以迫使IDS去执行一些特别耗费计算时间而又无意义的事 内存，连接状态的保留、数据包的重组都需要大量的内存，攻击者可以想办法使IDS不停的消耗内存 日