《企業(yè)網(wǎng)D1Net》2月14日訊

提及入侵檢測系統(tǒng)，英文簡寫為IDS，相信很多人都并不陌生，從字義就可以看出它的內(nèi)涵，它是用來實(shí)時(shí)檢測攻擊行為以及報(bào)告攻擊的。

如果把防火墻比作守衛(wèi)網(wǎng)絡(luò)大門的門衛(wèi)的話，那么入侵檢測系統(tǒng)(IDS)就是可以主動尋找罪犯的巡警。因而尋求突破IDS的技術(shù)對漏洞掃描、腳本注入、URL攻擊等有著非凡的意義，同時(shí)也是為了使IDS進(jìn)一步趨向完善。

筆者在此介紹五種常用且有一定代表性的方法。

第一招：十六進(jìn)制編碼

對于一個(gè)字符,我們可以用轉(zhuǎn)義符號“%”加上其十六進(jìn)制的ASCII碼來表示。比如/msadc/msadcs.dll中第一個(gè)字符“/”可以表示為%2F，接下來的字符可以用它們對應(yīng)的16進(jìn)制的ASCII碼結(jié)合“%”來表示，經(jīng)過此法編碼后的URL就不再是原先的模樣了，IDS的規(guī)則集文件里可能沒有編碼后的字符串，從而就可以繞過IDS。但是這種方法對采用了HTTP預(yù)處理技術(shù)的IDS是無效的。

第二招：多余編碼法

多余編碼又稱雙解碼。還記的2000-2001年IIS的Unicode解碼漏洞和雙解碼漏洞鬧得沸沸揚(yáng)揚(yáng)，那時(shí)有許多朋友稀里糊涂的以為Unicode解碼漏洞就是雙解碼漏洞，其實(shí)它們兩者是兩回事，前者的原理筆者已在上述的“非法Unicode編碼”中有所描述。而多余編碼就是指對字符進(jìn)行多次編碼。比如“/”字符可以用%2f表示，“%2f”中的“%”、“2”、“f”字符又都可以分別用它的ASCII碼的十六進(jìn)制來表示，根據(jù)數(shù)學(xué)上的排列組合的知識可知，其編碼的形式有2的3次方，于是“%2f”可以改寫為：“%25%32%66”、“%252f”等等來實(shí)現(xiàn)URL的多態(tài)，編碼后的字符串可能沒被收集在IDS的規(guī)則集文件中，從而可以騙過有些IDS。

第三招.加入虛假路徑

在URL中加入“../”字符串后，在該字符串后的目錄就沒有了意義，作廢了。因此利用“../”字符串可以達(dá)到擾亂了識別標(biāo)志分析引擎、突破IDS的效果!

第四招：插入多斜線

我們可以使用多個(gè)“/”來代替單個(gè)的“/”。替代后的URL仍然能像原先一樣工作。比如對/msadc/msadcs.dll的請求可以改為////msadc////msadcs.dll，經(jīng)筆者曾經(jīng)實(shí)驗(yàn)，這種方法可以繞過某些IDS。

第五招：綜合多態(tài)編碼

聰明的你一看這個(gè)小標(biāo)題就知道了，所謂綜合，就是把以上介紹的幾種多態(tài)變形編碼技術(shù)結(jié)合起來使用，這樣的話效果會更好。

D1Net評論：

隨著網(wǎng)絡(luò)相關(guān)漏洞和黑客攻擊事件頻發(fā)，人們對安全安全問題的重視程度也越來大，黑客是門藝術(shù)，黑客講究的是靈感是思路，我們通過深入思考，舊的知識也可以創(chuàng)造出新的技術(shù)，在應(yīng)對黑客攻擊中才能不斷創(chuàng)造新方法。