扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
(三)URL混淆
URL混淆通常被攻击者用以逃避IPS产品的URL过滤机制,这类规避方式主要包括如下几种:
采用转义符“%”将字符用16进制表示
采用转义符“%u”将字符用UNICODE方式表示
随机插入“//”,“/./”和“\”字符
随机变换大小写
用tab符(0x09或0x0b)或回车符(0x0d)做分隔符
加入干扰字符串
以CVE-1999-0070为例,该漏洞产生原因是NCSA HTTPd和早期的Apache Web Server自带了一个名为“test-cgi”的Shell CGI脚本,通常位于“/cgi-bin”目录,用于测试Web服务的配置是否已经可以正常地使用CGI脚本。test-cgi脚本的实现上存在输入验证漏洞,远程攻击者可能利用此漏洞遍历主机的目录,查看目录下的内容,因此检测该攻击的特征码一般包含“cgi-bin/test-cgi”这个字符串,该攻击概念验证(PoC)如下:
GET /cgi_bin/test-cgi?/* HTTP/1.1
对该PoC的URL进行混淆后可以得到如下所示的URL格式:
图3 URL请求混淆示例
不幸的是这些混淆后的形式都是WEB服务器可接受的,显然要避免这种攻击的漏报,IPS就不能在原始URL中进行特征匹配操作,而应先对URL进行恢复和整理后再进行规则检测等操作。
(四)FTP规避攻击
为逃避IPS产品对FTP攻击的识别与拦截,攻击者通常在FTP命令中随机添加一定数量的干扰字符(空格符、Telnet非文本控制符等),这些干扰字符在FTP服务器的处理过程中往往会被过滤掉。
假设攻击者向FTP服务器发送如下命令:
CWD
/test1/test2/test3/test4/test5/test6
向其添加干扰字符后我们得到如下图所示的FTP请求:
图4FTP命令干扰示例
假设参数中包含“test2”的CWD请求会触发FTP服务器的某一漏洞,IPS需要先于FTP服务器正确识别CWD请求命令,并过滤请求参数中是否存在“test2”这个特征,如果IPS不能在正确解析FTP协议的同时,准确的滤除干扰字符,它最终看到的将是“t\xff\xf3est2”进而导致漏报发生。
三、攻击规避技术的应对思路和策略
攻击规避技术往往利用系统的协议处理缺陷,绕开正常的检测机制,使得真正的攻击流量能够渗入企业内网,其危害之大,防范之难,正被用户越来越关注。用户在选择一款优秀的IPS产品时,已经把攻击规避的检测能力,作为一种必备的产品技术要求进行评估。然而,攻击规避技术应用广泛,种类繁多,而且变种、更新速度较快,要想有效地防范这类攻击,将面临三大挑战:
首先,IPS产品需要对相关的网络协议有清晰的理解,具备细粒度协议解析机制和异常处理能力。各种规避技术都遵从相应的协议规范,导致规避攻击成功的原因主要是IPS的协议解码引擎过于简单甚至存在疏漏。
其次,安全厂商需要及时跟进各类攻击规避技术的发展动向。当出现新型的攻击规避技术时,能够及时透析其原理并制定有效的应对方案。
最后,IPS产品应该具备良好的扩展能力。一般而言,产品协议解析层面的结构变化会对整个系统带来较大的影响,牵一发而动全身。具备良好扩展能力的引擎架构,可以降低抗攻击规避模块的维护成本,缩短应急响应时间。
攻击规避技术对于IPS的应用带来了巨大的挑战,为了有效应对此类威胁,IPS产品在设计和开发攻击检测引擎的时候,必须考虑以下几方面的因素:
具备细粒度协议解析机制和完备的协议异常控制结构,第一时间对非法协议数据及时处理,杜绝安全隐患的蔓延;
配置高效的IP数据包重组策略,能过同时处理多种模式的分片数据包;
过滤协议异常数据的同时,积极修正、恢复正确的协议数据,最大限度的保障解码过程的完整性;
兼顾性能最优化,降低规避处理过程对引擎性能带来的影响;
尽量控制可能引入的风险,确保系统的稳定性不受影响。
为了验证IPS产品对于攻击规避手段的抵御能力,NSS Labs的安全专家们在“安全有效性”专项测试中,采用了五个测试项目,对IPS的攻击规避检测能力,进行了全面(覆盖IP,TCP,HTTP,DCERPC,SUNRPC等多种协议)且严格的测试。
基于强大且完善的协议解析引擎,以及多年以来在入侵检测/防护领域的深厚技术积淀,绿盟网络入侵防护系统(NSFOCUS NIPS)在NSS Labs的“规避测试”项目中获得100%的通过率,并最终得到NSS Labs在全球范围内的鼎力推荐。在此之前,仅有两家国际顶尖安全厂商的IPS产品获此殊荣。
图5 NSFOCUS NIPS攻击规避检测能力(引自NSS Labs测试报告)
四、结束语
应用了规避技术的蓄意隐性攻击,只是IPS面临的众多挑战之一,作为一款优秀的IPS产品,必须具备各类已知和未知风险的识别和控制能力,以确保产品的安全有效性,这也是IPS发展、演变历程中必须遵循的一项基本原则,唯有精确识别各类攻击,并及时做出响应,才有可能最大限度发挥IPS的功效,保障企业信息系统的安全。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。