、识别方式设计漏洞
1.对比已知攻击手法和入侵检测系统监视到在网上出现串是大部分网络入侵检测系统都会采取种方式例如在早期Apache Web服务器版本上phf CGI就是过去常被黑客用来读取服务器系统上密码文件(/etc/password)或让服务器为其执行任意指令工具的当黑客利用这种工具时在其URL request请求中多数就会出现类似“GET /cgi-bin/phf?.....”串因此许多入侵检测系统就会直接对比所有URL request 中是否出现/cgi-bin/phf 串以此判断是否出现phf 攻击行为
2.这样检查方式虽然适用于各种区别入侵检测系统但那些区别入侵检测系统因设计思想区别采用对比方式也会有所区别有入侵检测系统仅能进行单纯串对比有则能进行详细TCP Session重建及检查工作这两种设计方式个考虑了效能个则考虑了识别能力攻击者在进行攻击时为避免被入侵检测系统发现其行为可能会采取些规避手法以隐藏其意图例如:攻击者会将URL中编码成%XX 警惕6进值此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”单纯串对比就会忽略掉这串编码值
最新评论