Обман IDS: модель для сборки №1 

Заглавная страница
Избранные статьи
Случайная статья
Познавательные статьи
Новые добавления
Обратная связь
FAQ
Написать работу

КАТЕГОРИИ:

Археология
Биология
Генетика
География
Информатика
История
Логика
Маркетинг
Математика
Менеджмент
Механика
Педагогика
Религия
Социология
Технологии
Физика
Философия
Финансы
Химия
Экология

ТОП 10 на сайте

Приготовление дезинфицирующих растворов различной концентрации

Техника нижней прямой подачи мяча.

Франко-прусская война (причины и последствия)

Организация работы процедурного кабинета

Смысловое и механическое запоминание, их место и роль в усвоении знаний

Коммуникативные барьеры и пути их преодоления

Обработка изделий медицинского назначения многократного применения

Образцы текста публицистического стиля

Четыре типа изменения баланса

Задачи с ответами для Всероссийской олимпиады по праву


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Влияние общества на человека

Приготовление дезинфицирующих растворов различной концентрации

Практические работы по географии для 6 класса

Организация работы процедурного кабинета

Изменения в неживой природе осенью

Уборка процедурного кабинета

Сольфеджио. Все правила по сольфеджио

Балочные системы. Определение реакций опор и моментов защемления

Обман IDS: модель для сборки №1

▷ Содержание
⇐ ПредыдущаяСтр 2 из 4Следующая ⇒
Поиск

//05.12.2005 | -=Jul=-

В этой статье мы рассмотрим некоторые методы обхода IDS. Начнем мы с атак, основанных на фрагментации, затем пойдем дальше и посмотрим как различные операционные системы собирают пакеты и чем это может быть полезным для обмана Систем Обнаружения Вторжения. Ну и закончим атаками, основанными на TTL, обратим внимание на одну из самых популярных NIDS за именем Snort и посмотрим как он с ними может справляться и что надо сделать с настройками что бы воспрепятствовать проникновению взломщика.

Введение

Статья "Insertion, Evasion and Denial Of Service: Eluding NIDS" положила начало исследованию способов обхода IDS. Большинство систем обнаружения вторжения поддерживают сборку TCP пакетов и способны отслеживать сессии. Некоторые DoS атаки обходят системы защиты переполняя потоковый буфер IDS, так что наблюдение за потоком нарушается. С другой стороны неплохой способ обхода заключается в предоставлении жертве и целевой системе разных пакетов -в одном случае определенные пакеты могут отвергаться целью нападения, а IDS будет думать, что поток непрерывен, а в другом IDS может отбрасывать неправильные по ее мнению данные в то время как жертвой они все будут благополучно восприниматься. Для работы с такими видами нападения хакеры используют фрагментацию пакетов, где поток нападения разбивается на отдельные части. Опишем некоторые техники взлома.

Давайте начнем с определений:

  1. Фрагментация. Если пакет слишком велик для передачи по сети, он может быть разделен любым роутером (если это специально не запрещено) на множество фрагментов. Этот процесс называют фрагментацией. Система должна хранить поступающие фрагменты, ожидать будущих и собирать их в правильном порядке. Фрагменты/пакеты должны иметь значение TTL больше 1 для того, что бы проходить через роутер. Если роутер получает пакет или фрагмент со временем жизни равным 1 он уменьшает его на единицу, TTL становится равным 0 и пакет уже не идет дальше, а отправителю отсылается ICMP сообщение "Time Exceeded In Transit".
  2. Таймаут сборки фрагментов (IP Fragment Reassembly Timeout). Это значение указывает нам на время, сколько фрагмент будет храниться несобранным, по его истечению он будет уничтожен. Это значение разнится для операционных систем и, например, используется для определения вида системы (OS fingerprint). Системы обнаружения вторжения так же собирают фрагменты воедино и потому так же имеют такой таймаут. Например, в Snort по умолчанию оно составляет 60 секунд, после чего начальный пакет потока будет уничтожен и поток сброшен.
  3. ICMP сообщение о истечении времени сборки (ICMP Fragment Reassembly Time Exceeded message). Согласно RFC-792, если хост не может собрать фрагменты воедино в отведенное время из-за потерь, он должен выслать Сообщение об истечении времени (ICMP type=11, code=1). Если первый фрагмент недоступен, то и посылать сообщение не требуется.

Теперь уже можно перейти к сладкому и рассмотреть некоторые виды атак.


⇐ Предыдущая1234Следующая ⇒

Поделиться:


Познавательные статьи:


Организация работы процедурного кабинета
Статус республик в составе РФ
Понятие финансов, их функции и особенности
Сущность демографической политии


Последнее изменение этой страницы: 2020-12-09; просмотров: 131; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 216.73.217.128 (0.008 с.)