SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Генерация ложных сообщений Заставить IDS выдать ложное предупреждение об атаке можно различными спосо­бами. Один из них заключается в передаче данных, в которых содержится строка, совпадающая с шаблоном из таблицы сигнатур системы IDS . При этом сами дан­ ные с атакой могут быть и не связаны. Рассмотрим три URL . • http ://192.168.7.203/ index . htmllcmd . exe - • httpt //192.16В.7.203/ index . htinl ? duimypara ! n = xp _ cnidshen В первом адресе содержится ссылка на несуществующую точку привязки ond . exe Соответствующий HTTP -запрос будет успешно обработан, и с узла 192.168.7.203 кли­ ентский броузер получит содержимое страницы index . html . Однако одновременно с этим IDS сообщит об атаке на узел 192.168.7.203, поскольку строка cmd . exe содержит­ся в одной из проверяемых ею сигнатур. Во втором адресе URL через строку запроса статическому HTML -файлу передается параметр. Web -серверу передается параметр с именем dumyparan со значением хр cmdshell . Эта хранимая процедура используется в реальных атаках, когда в строку URL вставляется специальный SQL-запрос. В данном же случае index . html — это ста­тическая HTML -страница, которой ничего не известно о каких-либо передаваемых ей параметрах. Эти параметры попросту отбрасываются. IDS не может определить, ис­ пользуется ли какой-либо адрес URL для реального нападения. В рассматриваемом случае такая IDS , как snort , сообщила бы об атаке на узел 192.168.7.203. В строке запроса третьего адреса URL сценарию CGI передаются параметры. Од­ нако в строке запроса можно указать и "лишние" параметры, не используемые дан­ ным сценарием. При этом эффект будет таким же, как и при использовании второго адреса URL . Для проверки все три адреса URL были отправлены с узла 10.0.0.1 на узел 192.168.7.203. При этом системой snort были сгенерированы три предупреждения, причем все они оказались ложными. Обход систем IDS программами проверки изъянов Программы проверки Web -изъянов, такие, как Whisker , могут работать с включен­ ным режимом обхода систем IDS . В программе Whisker реализовано 10 методов обхода IDS . - I 1 Режим обхода IDS 1 ( URL -кодирование) - I 2 Режим обхода IDS 2 (вставка строки/./) - I 3 Режим обхода IDS 3 (преждевременное завершение URL )

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |