Методы обхода сетевых систем обнаружения вторжений

Сетевые СОВ функционируют как пассивные устройства или несмешивающиеся мониторы сетевого трафика. Сетевые СОВ могут обнаружить аномалии и злоупотребления. Методы обнаружения аномалий для сетевых СОВ используются редко из — за необходимости большого периода времени для построения «нормально» поведения и большого числа ложных срабатываний. Обход сетевых СОВ обнаружения аномалий больше игра, чем учение. Поэтому далее рассмотрим СОВ обнаружения злоупотреблений.

Основные методы обхода таких СОВ:

• 1) сбивание столку;
• 2) фрагментация;
• 3) шифрование;
• 4) перезагрузка.

Сбивание с толку — это процесс манипулирования данными таким образом, чтобы сигнатура СОВ не соответствовала проходящему пакету, который бы интерпретировался приемной стороной. В качестве примера рассмотрим строку ././c:winntsystem32 etstat. exe, которую не всякая СОВ интерпретирует в таком виде из строки.

%2е%2е%2f%2e%2e%2fc:wintsystem32 etstat.exe.

однако Web — сервер, которому будет направлена данная команда, интерпретирует обе строки одинаково.

Фрагментация — это разбивка пакета на фрагменты, которые можно послать в различном порядке (и с различными временными интервала между ними), что может обмануть СОВ, которая не производит реассемблирования.

Если СОВ проводит реассемблирование, то нарушитель может превысить физический объем памяти СОВ, отведенный для реассемблирования, путем посылки большого числа фрагментов, содержащих «мусор», или превысить временной промежуток, в течении которого пакет должен реассемблироваться. Например, если система обнаружения имеет сигнатуру, содержащую символы D< A< T< D, то СОВ может удалить первые три символа из буфера, не дождавшись прихода четвертого. Все эти символа будут реассемблированы на приемной стороне.

Шифрование — сетевая СОВ должна иметь возможность использовать полезную нагрузку пакета, чему может противодействовать нарушитель, шифруя трафик. Для этого используется шифрование SSL, SSH и IPSes туннели. Это позволяет нарушителю использовать средства безопасности целевого хоста против него же. Это может быть опасно, в случае когда система имеет одну и ту же корневую директорию для не зашифрованных и для зашифрованных Web — сайта с HTTPS, такую как SQLвставка, переполнение буфера или обход директории. Поскольку HTTPS использует SSL, трафик шифруется, что позволяет ему проходит СОВ. Данная проблема усугубляется применением SSL VPN. Это, в свою очередь, создает следующие проблемы для СОВ. Во — первых, нарушитель может атаковать сеть, а СОВ не обнаружит зашифрованную атаку. Во — вторых, если СОВ может работать с зашифрованным трафиком, то нарушитель может установить большое число сеансов работы с множеством хостов, что потенциально может помешать сетевой СОВ расшифровать в реальном времени трафик, принадлежащей атаке.

Перезагрузка — этот метод переполнения сетевой СОВ может быть достигнут различными путями. Наряду с применением своей атаки производится «заполнение» другими атаками с фиктивными адресами источников, что приведет к генерации громадного количества сигналов тревоги и помешает определить истинного нарушителя. Возможно «затопление» сетевой СОВ трафиком таким образом, чтобы СОВ оказалась не в состоянии анализировать каждый пакет.