科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道入侵检测系统(IDS)的弱点和局限(3)

入侵检测系统(IDS)的弱点和局限(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

攻击者向被保护网络发送大量的数据,超过NIDS的处理能力有限,将会发生丢包的情况,从而可能导致入侵行为漏报。攻击者向被保护网络发送大量的IP碎片,超过NIDS能同时进行的IP碎片重组能力,从而导致通过IP分片技术进行的攻击漏报。

作者:中国IT实验室 2008年4月14日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

1.3资源及处理能力局限

1.3.1针对NIDS的DoS攻击。

1.3.1.1大流量冲击

攻击者向被保护网络发送大量的数据,超过NIDS的处理能力有限,将会发生丢包的情况,从而可能导致入侵行为漏报。

NIDS的网络抓包能力与很多因素相关。例如在每个包1500字节的情况下,NIDS将超过100MB/s的处理能力,甚至达到超过500MB/s的处理能力,但如果每个包只有50字节,100MB/s的流量意味2000000包/s,这将超过目前绝大多数网卡及交换机的处理能力。

1.3.1.2 IP碎片攻击

攻击者向被保护网络发送大量的IP碎片(例如TARGA3攻击),超过NIDS能同时进行的IP碎片重组能力,从而导致通过IP分片技术进行的攻击漏报。

1.3.1.3 TCP Connect Flooding

攻击者创建或者模拟出大量的TCP连接(可以通过上面介绍的IP重叠分片方法),超过NIDS同时监控的TCP连接数的上限,从而导致多余的TCP连接不能被监控。

1.3.1.4 Alert Flooding

攻击者可以参照网络上公布的检测规则,在攻击的同时故意发送大量的将会引起NIDS报警的数据(例如stick攻击),将可能超过NIDS发送报警的速度,从而产生漏报,并且使网管收到大量的报警,难以分辨出真正的攻击。

如果发送100字节便可以产生1条报警,则通过拨号上网每秒可以产生50条报警,10M局域网内每秒可以产生10000条报警。

1.3.1.5 Log Flooding

攻击者发送大量的将会引起NIDS报警的数据,最终导致NIDS进行Log的空间被耗尽,从而删除先前的Log纪录。

1.3.2内存及硬盘限制

如果NIDS希望提高能够同时处理的IP碎片重组及TCP连接监控能力,这将需要更多的内存做缓冲,如果NIDS的内存分配及管理不好的话,将使系统在某种特殊的情况下耗费大量的内存,如果开始使用虚拟内存,则将有可能发生内存抖动。

通常硬盘的速度远远比不上网络的速度,如果系统产生大量的报警纪录到硬盘,将耗费掉大量的系统处理能力,如果系统纪录原始网络数据,保存大量和高速的网络数据将需要昂贵的大容量RAID。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章