本文针对入侵检测系统漏洞来了解下黑客入侵手法旦安装了网络入侵检测系统网络入侵检测系统就会为你分析出网上出现黑客攻击事件而且你能用此入侵检测系统反击功能即时将这种联机猎杀或阻断你也可以配合防火墙设置由入侵检测系统自动为你动态修改防火墙存取规则拒绝来自这个IP后续联机动作！”这种美好“前景”可能是许多入侵检测系统提供商惯用销售手法般企业或组织在建立自己入侵检测系统时也会有这种预期目诚然入侵检测系统可以具有很好监视及检测入侵能力也可以对企业或组织安全提供很好协助但是正如小偷手法会随着锁设计而不断“更新”样随着入侵检测系统出现许多针对网络入侵检测系统规避手法也随的不断“升级”如今黑客对于入侵检测系统已经有了套较完整入侵手法下面我们将针对入侵检测系统漏洞来了解下黑客入侵手法
　　
　　、识别方式设计漏洞
　　
　　1.对比已知攻击手法和入侵检测系统监视到在网上出现串是大部分网络入侵检测系统都会采取种方式例如在早期ApacheWeb服务器版本上phfCGI就是过去常被黑客用来读取服务器系统上密码文件(/etc/password)或让服务器为其执行任意指令工具的当黑客利用这种工具时在其URLrequest请求中多数就会出现类似“GET/cgi-bin/phf？”串因此许多入侵检测系统就会直接对比所有URLrequest中是否出现/cgi-bin/phf串以此判断是否出现phf攻击行为
　　
　　2.这样检查方式虽然适用于各种区别入侵检测系统但那些区别入侵检测系统因设计思想区别采用对比方式也会有所区别有入侵检测系统仅能进行单纯串对比有则能进行详细TCPSession重建及检查工作这两种设计方式个考虑了效能个则考虑了识别能力攻击者在进行攻击时为避免被入侵检测系统发现其行为可能会采取些规避手法以隐藏其意图例如:攻击者会将URL中编码成%XX警惕6进值此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”单纯串对比就会忽略掉这串编码值内部代表意义攻击者也可以通过目录结构特性隐藏其真正意图例如:在目录结构中“/”代表本目录“/”代表上层目录Web服务器可能会将“/cgi-bin///phf”、“//cgi-bin//phf”、“/cgi-bin/blah//phf？”这些URLrequest均解析成“/cgi-bin/phf”但单纯入侵检测系统可能只会判断这些request是否包含“/cgi-bin/phf”串而没有发现其背后所代表意义
　　
　　3.将整个request在同个TCPSession中切割成多个仅内含几个小Packet网络入侵检测若没将整个TCPsession重建则入侵检测系统将仅能看到类似“GET”、“/cg”、“i”、“-bin”、“/phf”个别Packet而不能发现重组回来结果它仅单纯地检查个别Packet是否出现类似攻击串类似规避方式还有IPFragmentationOverlap、TCPOverlap等各种较复杂欺瞒手法
　　
　　 2、“猎杀”及重调安全政策漏洞
　　
　　所谓“猎杀”就是在服务器中设定个陷阱如有意打开个端口用检测系统对其进行24小时严密盯防当黑客尝试通过该端口入侵时检测系统就会及时地将其封锁网络入侵检测系统“猎杀”及重新调整防火墙安全政策设置功能虽然能即时阻断攻击动作但这种阻断动作仅能适用TCPSession要完全限制就必须依赖重新调整防火墙安全政策设置功能同时也可能造成另种反效果:即时阻断动作会让攻击者发现IDS存在攻击者通常会寻找规避方式或转向对IDS进行攻