Интрузияны анықтау жүйесінен жалтару әдістері - Intrusion detection system evasion techniques

Интрузияны анықтау жүйесінен жалтару әдістері арқылы анықтауға жол бермеу үшін шабуылдарға жасалған өзгертулер кіруді анықтау жүйесі (IDS). Барлық дерлік жарияланған жалтару әдістері желілік шабуылдарды өзгертеді. 1998 қағаз Енгізу, жалтару және қызмет көрсетуден бас тарту: желіге кіруді анықтауды болдырмау IDS-тен жалтаруды кеңінен насихаттады және жалтарудың әдістері мен мақсатты компьютерлік жүйеге байланысты дұрыс түсіндіру екіұшты болатын салаларды талқылады. «Фрогрут» және «фроутротер» бағдарламалары жұмыста қарастырылған жалтару әдістерін жүзеге асырады. «Nikto», «сақал» және «Sandcat» сияқты веб-осалдықтардың көптеген сканерлерінде IDS-тен жалтару әдістері бар.

IDS-дің көпшілігі жалтарудың негізгі әдістерін анықтау немесе өзгерту үшін өзгертілген, бірақ IDS жалтару (және IDS жалтаруға қарсы әрекет) әлі де белсенді өрістер болып табылады.

Пайдалы жүктемені бұзу

Шабуылдың пайдалы жүктемесін мақсатты компьютер кері қайтаратындай етіп жасыру немесе кодтау арқылы IDS-ден жалтаруға болады, бірақ IDS өзгертпейді. Осылайша, шабуылдаушы IDS-ті ескертпестен соңғы хостты қолдана алады.

Кодтау және шифрлау

Қолдану деңгейінің хаттамалары ұнайды HTTP бірдей мән ретінде түсіндірілетін деректерді бірнеше кодтауға мүмкіндік береді. Мысалы, а-дағы «cgi-bin» жолы URL мекен-жайы «% 63% 67% 69% 2d% 62% 69% 6e» түрінде кодталуы мүмкін (яғни он алтылықта).^[1] Веб-сервер бұларды бірдей жол ретінде қарастырады және оларға сәйкес әрекет етеді. IDS желілік трафикті белгілі зиянды қолтаңбалармен сәйкестендіру үшін оның соңғы хосттары қабылдауы мүмкін барлық кодтаулар туралы білуі керек.^[1]^[2]

Сияқты шифрланған хаттамаларға шабуыл HTTPS егер IDS серверде байланыс шифрлау үшін пайдаланатын жеке кілттің көшірмесі болмаса, IDS арқылы оқи алмайды.^[3] IDS шифрланған трафикті қолтаңбамен сәйкестендіре алмайды, егер ол мұны ескермесе.

Полиморфизм

Қолтаңбаға негізделген идентификаторлар зиянды трафикті қолтаңбалармен сәйкестендіру үшін жиі шабуылдың әдеттегі үлгілерін іздейді. Анықтау үшін буферден асып кету шабуылдар, IDS дәлелдер іздеуі мүмкін NOP слайдтары қорғауды әлсірету үшін қолданылады мекен-жай кеңістігінің рандомизациясы.^[4]

Өз шабуылдарын жасыру үшін шабуылдаушылар қолдана алады полиморфты қабықша коды шабуылдың ерекше үлгілерін жасау. Бұл әдіс әдетте пайдалы жүктемені кодтауды білдіреді (мысалы, XOR-дің әр байтын 0x95-мен енгізу), содан кейін декодерді оны жібермес бұрын пайдалы жүктеменің алдына қою. Мақсат кодты орындаған кезде, жүктемені мақсатты түрде орындайтын бастапқы түріне қайта жазатын декодерді іске қосады.^[1]^[4]

Полиморфты шабуылдарда бір ғана анықталатын қолтаңба жоқ, сондықтан оларды қолтаңбаға негізделген идентификаторларға, тіпті кейбір аномалияға негізделген идентификаторларға анықтау қиынға соғады.^[1]^[4] Шиката га най («оған көмектесу мүмкін емес») - бұл танымал полиморфты кодтаушы Metasploit зиянды түрлендіру үшін қолданылатын жақтау қабықшалы код XOR аддитивті кері байланысын қолдану арқылы анықтау қиын полиморфтық қабықшаларға.^[5]

Енгізу және жалтару

Шабуылшылар пакеттерді жасау арқылы IDS-тен қашып құтыла алады, осылайша соңғы хост шабуылдың пайдалы жүктемесін дұрыс түсіндіреді, ал IDS шабуылды қате түсіндіреді немесе трафиктің өте жақсы екенін анықтайды.^[3]

Фрагментация және шағын пакеттер

Негізгі техниканың бірі - шабуылдың пайдалы жүктемесін бірнеше шағын пакеттерге бөлу, сондықтан IDS шабуылды анықтау үшін пакеттік ағынды қайта жинауы керек. Пакеттерді бөлудің қарапайым тәсілі - бөлшектеу оларды, бірақ қарсылас сонымен қатар жай жүк көтергіштігі бар пакеттерді жасай алады.^[1] «Сақал» жалтару құралы шағын жүктемелері бар пакеттерді жасауды «сеансты қосу» деп атайды.

Өздігінен, шағын пакеттер пакеттік ағындарды жинайтын кез келген IDS-тен жалтармайды. Алайда, қайта жинау мен анықтауды қиындату үшін шағын пакеттерді одан әрі өзгертуге болады. Жалтарудың бір әдісі - шабуылдың бөліктерін жіберу арасында кідірту, мақсатты компьютер істемей тұрып IDS уақыты бітті деген үміт. Екінші жалтару әдісі - бұл пакетті жөнсіз жіберу, қарапайым пакетті қайта құрастырушыларды шатастыру, бірақ мақсатты компьютер емес.^[1]

Фрагменттері мен TCP сегменттері қабаттасып жатыр

Жалтарудың тағы бір әдісі - пакеттер сериясын жасау TCP реттік нөмірлері қабаттасуға теңшелген. Мысалы, бірінші пакетте 80 байт пайдалы жүктеме болады, бірақ екінші пакеттің реттік нөмірі бірінші пакет басталғаннан кейін 76 байт болады. Мақсатты компьютер TCP ағынын қайта құрастырған кезде, олар төрт байтты қалай өңдеу керектігін шешуі керек. Кейбір амалдық жүйелер ескі деректерді, ал кейбіреулері жаңа деректерді алады.^[3] Егер IDS TCP-ді мақсатқа сай қайта жинамаса, оны шабуылдың пайдалы жүктемесінің бір бөлігін жіберіп алу немесе зиянды пайдалы жүктемеге енгізілген зиянды деректерді көру, шабуыл қолын бұзу арқылы басқаруға болады.^[1]^[3] Бұл әдісті IP фрагментациясымен де осылай қолдануға болады.

Хаттаманың түсініксіздігі

IDS-тен жалтарудың кейбір әдістері қасақана манипуляцияны қамтиды TCP немесе IP протоколдарды мақсатты компьютердің IDS-ден басқаша өңдейтін тәсілмен. Мысалы, TCP жедел көрсеткіші әр түрлі операциялық жүйелерде әр түрлі өңделеді. Егер IDS осы хаттамалық бұзушылықтарды оның соңғы хосттарына сәйкес келмесе, ол енгізу және ертеректе айтылғандардан жалтару әдістеріне осал болады.^[3]

Өткізу қабілеті төмен шабуылдар

Ұзақ уақытқа таралатын шабуылдар немесе көптеген IP-көздері, мысалы nmap's баяу сканерлеу, қатерсіз трафиктің фонынан шығу қиын болуы мүмкін. Онлайн пароль бұзушы күн сайын әр пайдаланушы үшін бір парольді тексеретін, парольді қате енгізген қарапайым пайдаланушыға ұқсас болады.

Қызмет көрсетуден бас тарту

Пассивті жеке куәліктің табиғаты бар екендігіне байланысты ашылмау (керісінше жабық ), іске қосу а қызмет көрсетуден бас тарту шабуылы желідегі IDS-ге қарсы оның қорғанысын айналып өтудің мүмкін әдісі.^[3] Қарсылас бұған IDS-тегі қатені пайдалану, IDS-тегі барлық есептеу ресурстарын тұтыну немесе нақты шабуылды жасыру үшін көптеген ескертулерді әдейі қосу арқылы қол жеткізе алады.

Процессордың сарқылуы

IDS арқылы алынған пакеттер процессор дайын болғанға дейін ядро буферінде сақталады. Егер процессор жоғары жүктемеде болса, онда ол пакеттерді тез өңдей алмайды және бұл буфер толтырылады. Буфер толы болғандықтан, жаңа (және зиянды болуы мүмкін) пакеттер алынып тасталады.^[3]

Шабуылшы бірнеше жолмен IDS-дің CPU ресурстарын сарқуы мүмкін. Мысалы, қолтаңбаларға негізделген кіруді анықтау жүйелері кіріс пакеттерді белгілі шабуылдардың қолтаңбаларымен сәйкестендіру үшін үлгіні сәйкестендіру алгоритмдерін қолданады. Әрине, кейбір қолтаңбалар басқаларға қарағанда есептеу үшін қымбатқа түседі. Осы фактіні қолдана отырып, шабуылдаушы трафикте өзінің сәйкестік алгоритмін іске қосу үшін IDS-ді максималды CPU уақытын пайдалануға мәжбүр ету үшін арнайы жасалған желілік трафикті жібере алады.^[1]^[2] Бұл алгоритмдік күрделілік шабуыл IDS-ді салыстырмалы түрде аз өткізу қабілеттілігімен басып тастай алады.^[1]

Шифрланған трафикті бақылайтын IDS өзінің CPU ресурстарының көп бөлігін кіріс деректерінің шифрын ашуға жұмсай алады.^[3]

Жадтың сарқылуы

Белгілі бір қолтаңбаларды сәйкестендіру үшін жеке куәлікті сақтау қажет мемлекет ол бақылап отыратын байланыстармен байланысты. Мысалы, IDS «TCP басқару блоктарын» (TCB), реттік нөмірлерді, терезе өлшемдерін және қосылу күйлерін (ОРНАТЫЛҒАН, БАЙЛАНЫСТЫ, ЖАБЫҚТЫ және т.б.) ақпаратты қадағалайтын жад бөліктерін әр TCP қосылымы үшін бақылауы керек. жеке куәлік.^[3] Барлық жеке куәліктер жедел жад (RAM) жұмсалады, оны пайдалануға мәжбүр етеді виртуалды жад үстінде қатқыл диск бұл оперативті жадтан әлдеқайда баяу, бұл өнімділік проблемаларына алып келеді және процессордың сарқылуының әсеріне ұқсас пакеттерді тастайды.^[3]

Егер жеке куәлік жоқ болса қоқыс жинау TCB дұрыс және тиімді, шабуылдаушы көптеген TCP қосылуларын тез бастау арқылы IDS жадын тауса алады.^[3] Ұқсас шабуылдарды көптеген пакеттерді кішірек пакеттерге бөлшектеу немесе көптеген TCP сегменттерін жөндеуге жіберу арқылы жасауға болады.^[3]

Оператордың шаршауы

IDS жасаған ескертулер қандай-да бір мәнге ие болу үшін әрекет етуі керек. Шабуыл жасаушы IDS-де ескертулер жасауға арналған «зиянды» трафиктің көп мөлшерін жіберу арқылы адам операторын ескертулердің шамадан тыс көптігі арқылы басу арқылы «қол жетімділікті» төмендете алады. Одан кейін шабуылдаушы шабуылды қақпақ ретінде ескерту шуын пайдаланып жасай алады. «Таяқ» және «снота» құралдары осы мақсат үшін жасалған. Олар желіге шабуыл қолтаңбаларын жіберу арқылы көптеген IDS ескертулерін жасайды, бірақ қолданбалы протокол контекстін сақтайтын IDS-те ескертулерді тудырмайды.

Әдебиеттер тізімі

^ ^а ^б ^c ^г. ^e ^f ^ж ^сағ ^мен Ченг, Цунг-Хуан; Лин, Ин-Дар; Лай, Юань-Чен; Лин, По-Чинг (2012). «Үйдеуден жалтару әдістері: сіздің кіруіңізді анықтау / алдын алу жүйелері арқылы жасырынып өту». IEEE байланыс сауалдары және оқулықтар. 14 (4): 1011–1020. CiteSeerX 10.1.1.299.5703. дои:10.1109 / тірі.2011.092311.00082.
^ ^а ^б Корона, Игино; Джасинто, Джорджио; Роли, Фабио (2013). «Интрузияны анықтау жүйелеріне қарсы шабуылдар: таксономия, шешімдер және ашық мәселелер». Ақпараттық ғылымдар. 239: 201–225. дои:10.1016 / j.ins.2013.03.022.
^ ^а ^б ^c ^г. ^e ^f ^ж ^сағ ^мен ^j ^к ^л Птачек, Томас Х .; Ньюшам, Тимоти Н. (1998-01-01). «Енгізу, жалтару және қызмет көрсетуден бас тарту: желіге кіруді анықтауды болдырмау». CiteSeerX 10.1.1.119.399. Журналға сілтеме жасау қажет | журнал = (Көмектесіңдер)
^ ^а ^б ^c Чабоя, Д. Дж .; Рейнс, Р. А .; Болдуин, Р.О .; Mullins, B. E. (2006-11-01). «Желіге кіруді анықтау: шабуылға және жалтаруға бейім автоматтандырылған және қолмен әдістер». IEEE қауіпсіздік құпиялығы. 4 (6): 36–43. дои:10.1109 / MSP.2006.159. ISSN 1540-7993.
^ «Полиморфты XOR қосымшасының кері байланысының кодтаушысы». rapid7.com.

Сыртқы сілтемелер

IDS / IPS-тен жалтару, Абхишек Сингх, Вирус бюллетені, сәуір 2010 ж.
Енгізу, жалтару және қызмет көрсетуден бас тарту: желіге кіруді анықтауды болдырмау Томас Птачек, Тимоти Ньюшэм. Техникалық есеп, Secure Networks, Inc., қаңтар 1998 ж.
Unicode көмегімен IDS жалтару Эрик Пакер. соңғы рет жаңартылған 2001 жылғы 3 қаңтар.
Фрагруттың басты беті
Фрагроутердің бастапқы коды
Nikto басты беті ескірген, қараңыз: https://cirt.net/nikto2
Phrack 57 phile 0x03 TCP жедел көрсеткісін атап өту
Сақалдың басты беті
Sandcat басты беті
Snort's stream4 алдын ала процессоры пакетті күйге келтіру үшін
Табиғаттағы жалтару Shadow Brokers-да табылған жалтару туралы блог

[:12-1] а ^б ^c ^г. ^e ^f ^ж ^сағ ^мен Ченг, Цунг-Хуан; Лин, Ин-Дар; Лай, Юань-Чен; Лин, По-Чинг (2012). «Үйдеуден жалтару әдістері: сіздің кіруіңізді анықтау / алдын алу жүйелері арқылы жасырынып өту». IEEE байланыс сауалдары және оқулықтар. 14 (4): 1011–1020. CiteSeerX 10.1.1.299.5703. дои:10.1109 / тірі.2011.092311.00082.

[:22-2] а ^б Корона, Игино; Джасинто, Джорджио; Роли, Фабио (2013). «Интрузияны анықтау жүйелеріне қарсы шабуылдар: таксономия, шешімдер және ашық мәселелер». Ақпараттық ғылымдар. 239: 201–225. дои:10.1016 / j.ins.2013.03.022.

[:04-3] а ^б ^c ^г. ^e ^f ^ж ^сағ ^мен ^j ^к ^л Птачек, Томас Х .; Ньюшам, Тимоти Н. (1998-01-01). «Енгізу, жалтару және қызмет көрсетуден бас тарту: желіге кіруді анықтауды болдырмау». CiteSeerX 10.1.1.119.399. Журналға сілтеме жасау қажет | журнал = (Көмектесіңдер)

[:32-4] а ^б ^c Чабоя, Д. Дж .; Рейнс, Р. А .; Болдуин, Р.О .; Mullins, B. E. (2006-11-01). «Желіге кіруді анықтау: шабуылға және жалтаруға бейім автоматтандырылған және қолмен әдістер». IEEE қауіпсіздік құпиялығы. 4 (6): 36–43. дои:10.1109 / MSP.2006.159. ISSN 1540-7993.

[5] «Полиморфты XOR қосымшасының кері байланысының кодтаушысы». rapid7.com.

[1]

[2]

[3]

[4]

[5]