Ім'я файлу: вторгнення.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Шифрування і тунелювання
Якщо атакуючій стороні вдається встановити зашифроване з’єднання (тунель) з системою, то СВВ цієї системи не буде перевіряти трафік що йде через тунель.
Приклад зашифрованого з’єднання (тунелю):
SSH
SSL
IPSec
RDP
Два комп’ютера можуть спілкуватися за допомогою IPSec або інших форм зашифрованих тунелів, і NIDS не матиме засобів для перевірки трафіку, якщо не буде надано ключів дешифрування [20].
Деякі зловмисні програми використовують ключ і побітову операцію XOR для шифрування. Враховуючи достатні ресурси, в деяких випадках NIDS може розшифрувати пакети. До переваг шифрування за допомогою операції XOR можна віднести те, що вона є швидкою та простою з обчислювальної точки зору, а найпоширеніші архітектури забезпечують цю функцію на апаратному рівні. Недоліки полягають у тому, що шкідливі програми, зашифровані за допомогою операції XOR, можуть бути виявлені з використанням статистичного аналізу, наприклад частоти байтів. Також, трафік IPSec може бути виявлений за допомогою вимірювань ентропії, хоча архівовані дані можуть мати аналогічні рівні ентропії і призвести до хибних спрацювань [21].
Зважаючи на вище сказане шифрування трафік значно збільшує шанси на виконання атаки, яка не буде виявлена СВВ.
Використання невеликих пакетів
Одним з основних методів є розділення корисного навантаження на кілька невеликих пакетів, так що IDS повинен зібрати потік пакетів для виявлення атаки. Простий спосіб розбиття пакетів полягає в їх фрагментації, але атакуючий може також створювати пакети з невеликими корисними навантаженнями.
Один метод виконання даної атаки - це пауза між відправленнями частин атакуючої команди. Другий метод - відправлення пакетів в неправильному порядку, що може обманути прості IDS системи.
Сама по собі атака фрагментацією є малоефективною, але зазвичай її використовують в поєднанні з іншими атаками.
Приклад Snort для виявлення даної атаки (корисне навантаження пакету має розмір (dsize)=1 і пакет містить лише пробіл):
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC whisker space splice attack"; flow:to_server,established; dsize:1; content:" "; reference:arachnids,296; reference:url,www.wiretrip.net/rfp/pages/whitepapers/whiskerids.html; classtype:attempted-recon; sid:1104; rev:11;)
Фрагментація пакетів
Ця атака схожа на атаку з використанням невеликих пакетів, але основна відмінність полягає в тому, що ids повинна зберігати послідовність пакетів в
пам’яті перш ніж зможе порівняти їх з шаблонами. Також система повинна розуміти в якому порядку пакети мають бути зібрані системою-адресатом.
На основі цієї техніки розрізняють наступні атаки:
Накладання фрагментів: використовує принцип того що один фрагмент перезаписує дані з попереднього фрагмента, тим самим чином ухиляючись від розпізнавання IDS системою.
Перезапис фрагменту: ця атака схожа на попередню, відмінність полягає в тому що деякі фрагменти повністю переписують попередні.
Тайм Аут фрагментів: використовує факт що деякі IDS системи утримують незавершену послідовність пакетів в пам’яті певну кількість часу перш ніж відкинути її. В більшості простих систем це 60 секунд. Тобто можна затримати відправлення частини послідовності на цей час і IDS не розпізнає атаку.
Один з спосіб захисту від даної атаки за допомогою Snort це фільтрація пакетів невеликого розміру:
alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC Tiny Fragments"; dsize:< 25; fragbits:M; classtype:bad-unknown; sid:522; rev:3;)
1 ... 9 10 11 12 13 14 15 16 ... 19