庞大资源库的计算机教程网站!
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]
首页 操作系统 程序设计 图形图像 媒体动画 机械电子 WEB开发 数 据 库 办公系列 路由技术 网络原理 网络应用
认证考试 安全技术
首页>网络应用>入侵检测>IDS应用>正文
资料搜索
Google搜索
Google
返回上级列表

推荐文章

快速保存网页中所有图片的方法
Windows中让光驱巧妙“隐身”技
防范非法用户入侵Win 2000/XP系
两款比较典型的ASP木马防范方法
有关表格边框的css语法整理
Windows XP中可以被禁用的服务
SQL Server导出导入数据方法
Javascript所有对象的属性的获
网页(HTML)中的特殊字符
与篮球共舞,尽显模式本色
QQ病毒的手工清除方法
Photoshop为极品美女打造性感睫
天衣无缝:IIS与PHP水火也相容
SQL Server存储过程编写和优化

IDS欺骗之Fragroute(2)

 作者:本站收集   日期:2005-5-24
字号选择〖 〗/ 双击滚屏 单击停止   
IDS欺骗之Fragroute
    (2).IP碎片

   当路由器准备将IP分组发送到网络上,而该网络又无法将这个IP分组一次全部发送时,路由器必需将分组分成小块,使其长度能够满足这一网络对分组大小的限制,这些分割出来的小块就叫作碎片(fragmentation)。IP分组可以独立地通过不同的路径转发,使得碎片只有到达目的主机之后才可能汇集到一块,而且碎片不一定按照次序到达。到达目的主机后,目的主机会重组IP分片。

   当一个路由器分割一个IP分组时,要把IP分组头的大多数段值复制到每个碎片中,其中16位的标志符是必须复制的段,它能够唯一地标志一个IP分组,使目的主机能够判断每个碎片所属的IP分组,而且每个碎片中都偏移值,用来标记素片在IP分组中的位置。

   由于目标系统能够重组IP分片,因此需要网络入侵检测系统具有种族IP分片的能力。如果网络入侵检测系统没有重组IP分片的能力,将无法检测通过IP分片进入的攻击数据。不过,现在的网络入侵检测产品基本都具有良好的IP分片重组能力,因此基本的IP碎片问题不会给网络入侵检测系统造成太大的麻烦。但是,象碎片重叠之类的技术仍然会带来很大的问题。

   下面我们详细介绍如何使用IP碎片欺骗网络入侵检测系统。


基本的重组问题

   IP碎片通常会按照顺序到达目的地,最后的碎片的MF位为0(表示这是最后一个碎片)。不过,IP片有可能不按照顺序到达,目标系统必须能够重组碎片。但是,如果网络入侵检测系统总是假设IP碎片是按照顺序到达就会出现漏报的情况。攻击者可以打乱碎片的的到达顺序,达到欺骗IDS的目的。

   除此之外还有一个问题,IDS必须把IP碎片保存到一个缓冲区里,等所有的碎片到达之后重组IP分组。如果攻击者不送出所有的碎片,就可能使那些缓存所有碎片的IDS消耗掉所有内存。目标系统必须有处理这种情况的能力。一些系统会根据TTL,丢弃碎片。IDS必须以和目标系统相同的方式处理碎片。如果IDS接收被监视的主机丢弃的碎片流,就会被攻击者插入垃圾数据;如果IDS丢弃被监视系统接受的数据,就可能遗漏攻击数据流量。


碎片重叠问题

   目前,主要有两种技术用于逃避检测设备的监视。第一种就是使用尽可能小的碎片,例如:每个碎片只有8个字节(碎片最小8个字节),而每个碎片中都没有足够的信息,从而逃过检测。但是,现在的包过滤设备一般会主动丢弃这种碎片,入侵检测设备也会发出碎片攻击的报警,因此这种逃避方式很难奏效。

   另外一种方式就是碎片重叠。在IP分组中有一个13位的域(fragment offset),标识每个碎片在原始IP分组中的偏移。构造错误的碎片偏移值,可能造成碎片的重叠,如图:


|<--- offset=0 size=256 ---->|
+-----------------------+----+
| | | frag1
| | |
+-----------------------+----+
+----+----------------------+
| | | frag2
| | |
+----+----------------------+
|<-- offset=248,size=256 -->|
图2

   图2中,frag1负载的数据偏移值为0(也就是第一个碎片),大小是256,而第二个碎片frag2的数据偏移是248,造成了两个碎片的部分数据重叠。这样会使某个碎片的数据覆盖掉另一个碎片的重叠数据。而哪一个碎片重叠部分的数据被覆盖由操作系统决定。例如,如果frag1先于frag2到达,在NT/Y2K和solaris2.6中,frag1的数据会覆盖frag2的重叠数据;而在Linux中,frag2的数据会覆盖frag1的数据。而如果两个碎片不按正常顺序到达,也就是frag2先于frag1到达,在NT/Y2K和solaris2.6中,frag2的数据会覆盖frag1的重叠数据;而在Linux中,frag1的数据会覆盖frag2的数据。这些细节在使用fragroute之前一定要弄清楚。

   究竟是后面到达的碎片覆盖先到达的重叠数据,还是后到达碎片的重叠数据被覆盖可以使用fragroute软件包中的一个工具fragtest进行判断。fragroute的配置选项ip_frag size [new|old]用于IP碎片覆盖方式的配置,new表示后到达的碎片覆盖先到碎片的重叠数据,old表示后到达的碎片覆盖先到碎片的重叠数据。这两个选项是fragroute配置选项中比较难以理解的。

   对于碎片重叠,如果网络入侵检测系统的处理方式不同,就会造成漏报。例如,使用运行于Linux之上的snort作为网络入侵检测系统,而攻击者的攻击目标是Y2K系统。
上一篇:IDS欺骗之Fragroute(3)    下一篇:IDS欺骗之Fragroute(1)  
[发送给好友]  [关闭窗口]  [返回顶部]   转载请注明来源:www.it00.com   
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
责任编辑: 原点 投稿作者: 本站收集
信息来源: 网络 录入时间: 2005-5-24
关于我们 - 广告服务 - 版权申明 - 网站地图 - 联系方式 - 总编信箱 - 会员投稿
Copyright ©2005 - 2008 IT00.COM,All Rights Reserved