返回
IPS入侵逃逸技术分析与防御

IPS入侵逃逸技术分析与防御

ID:37930917

大小:58.50 KB

页数:10页

时间:2019-06-03

IPS入侵逃逸技术分析与防御_第1页
IPS入侵逃逸技术分析与防御_第2页
IPS入侵逃逸技术分析与防御_第3页
IPS入侵逃逸技术分析与防御_第4页
IPS入侵逃逸技术分析与防御_第5页
资源描述:

《IPS入侵逃逸技术分析与防御》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、IPS入侵逃逸技术分析与防御-杨永清1.概述IPS也就是业界所说的入侵防御系统(IntrusionPreventionSystem);而它的作用就是能在线防御防火墙所不能防御的深层入侵威胁;而它的作用也决定了它将被布置在用户网络的入口位置,对输入和输出的数据流进行入侵检测与防御。在网络的入侵防御技术中,入侵逃逸是其中一个不可规避的问题,也是IPS必须要面对和解决的问题。首先简单了解一下入侵逃逸技术的分类。入侵逃逸是相对与入侵防御技术而言的,在实际中两者也是攻防关系。由于两者都是通过技术手段来实现的。所以两者的技术也是在入侵攻防中不断

2、发展的;入侵逃逸按技术方式分类,可以分为分片报文、拒绝服务、SQL注入等。其中分片报文是早期比较常见的,拒绝服务和SQL注入攻击是最近几年最常见到的。这也是近几年网络大发展所引发的安全问题。下来我们通过两部分对几种入侵逃逸及IPS如何防御逃逸进行分析说明:2.几种逃逸攻击的简单分析2.1分片报文逃逸分片报文攻击一般是利用协议漏洞或一些网络基础软件的漏洞进行攻击。IP分片是在网络通讯中传输IP报文时采用的一种技术,可这种技术就存在一些安全隐患。最典型的就是通过IP分片技术进行拒绝服务攻击,当然还可用于躲避防火墙或者网络中IP分片重组能

3、力欠缺设备。为了传送一个大的IP报文,IP协议栈根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易地把这些IP分片报文重组起来。而目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文(这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构)。如果攻击者给目标计算机中发送一片分片报文,而不发送所有的分片报文,这样目标计算机便会一直等待(直到一个内部计时器结束),如果攻击者发送了足够多的分片报文,就会消耗掉目标计算机的所有资源,而导致不能接收正常的

4、IP报文。分片报文组合一般是用于进行缓冲区攻击的一种。很早的微软漏洞MS03-026缓冲区溢出攻击就是利用TCP携带的三个数据包来实施攻击的。正常的三次握手后,第一个由客户机发送的首个数据包,是“BIND”信息。第二个和第三个数据包携带的是“REQUEST”信息。第二个数据包携带“REQUEST”包头,它会指定OPNUM和大部分的参数数据。由于第二个包放不下所有的参数数据,因此第三个数据包会携带其余的参数数据。因此,当目标服务器接收完所有三个数据包后,攻击就成功了。而对于网络中那些对数据重组功能欠缺的设备将无从检测与防御。2.2拒绝

5、服务逃逸DOS(DenialofService)攻击是一种基于网络的、想办法阻止用户正常访问网络服务的攻击。DOS攻击一般是通过发起足够的网络请求连接,使服务器或运行在服务器上的程序耗尽服务器资源,从而使服务器无法正常响应甚至崩溃死机。DOS攻击可以是对服务器的单一数据包攻击,也可以是通过多台主机联合对被攻击服务器发起洪水般的数据包请求攻击。在单一数据包攻击中,攻击者通过精心构造一个利用操作系统或应用程序漏洞的攻击包。而网络中的入侵防御设备都具有对单个包的分析检测能力,所以,越来越多的黑客更偏向于采用一种更复杂的DDOS的攻击方法。

6、在DDOS攻击中,攻击者用多台机器来攻击一个目标。将洪水般的数据由多台机器通过网络传给目标服务器,达到目标服务器的网络阻塞,无法正常访问。还是就利用特别设计的数据包耗尽服务器资源(如SYNFlood),达到拒绝服务的目的。DDOS由DOS攻击演变而来,这种攻击是攻击者利用在已经入侵并已经控制的机器(所谓的“傀儡机”)上安装DOS服务程序,它们等待来自攻击者的控制命令。攻击者在攻击时启动全体受控主机的DOS服务进程,让它们对一个目标服务器发送尽可能多的网络访问请求,形成一股DOS洪流冲击目标系统,猛烈的DOS攻击同一网站。在没有防御策

7、略下目标网站会很快失去反应而不能及进处理正常的的访问甚至系统瘫痪崩溃。因为这种攻击来源于安装在网络中的多台机器上,这种攻击方式很难被攻击对象察觉,直到攻击者发出攻击命令,这些机器才同时发起进攻。由于此类攻击是通过组织遍布于广大网络上的大量计算机所发联合发起的攻击,因此采用简单的辨别和隔离技术是不能阻挡它们的。大部分情况下,很难将合法流量和非法流量区别开来。DOS/DDOS攻击从实现手法来看,主要表现为两种,一种是利用漏洞实现DOS的攻击,如Teardrop,PingofDeath等,另外一种是通过模拟大量的实际应用流量达到消耗目标主

8、机的资源,从而达到DOS/DDOS攻击的目的,通常DOS/DDOS攻击伴随着源IP地址欺骗。从DOS/DDOS攻击的对应的协议层次来看,主要有以下几种:a)二层相关的攻击,如ARPFlood;b)半连接相关的攻击,如TCPSYNFlo

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。