IDS作為企業(yè)安全防護(hù)系統(tǒng)被眾多的企業(yè)所采用，但是安裝IDS系統(tǒng)的企業(yè)也不能徹底的安心，隨著黑客技術(shù)的發(fā)展，許多黑客也可以通過(guò)各種方式繞過(guò)IDS的檢測(cè)，從而對(duì)企業(yè)進(jìn)行攻擊，本篇文章主要就介紹黑客在攻擊時(shí)通過(guò)針對(duì)HTTP請(qǐng)求繞過(guò)IDS監(jiān)視。

針對(duì)HTTP請(qǐng)求以繞過(guò)IDS監(jiān)視

㈠URL編碼問(wèn)題,將URL進(jìn)行編碼，可以避開(kāi)一些采用規(guī)則匹配的NIDS。

二進(jìn)制編碼中HTTP協(xié)議允許在URL中使用任意ASCII字符，把二進(jìn)制字符表示成形如"%xx" 的十六進(jìn)制碼，有的IDS并不會(huì)去解碼。 如"cgi-bin"可以表示成"%63%67%69%2d%62%69%6e"，有些IDS的規(guī)則匹配不出，但web服務(wù)器可以正確處理。不過(guò)現(xiàn)在大多數(shù)IDS已經(jīng)是在匹配規(guī)則之前解碼，目前這個(gè)手段已經(jīng)不適用了，一般的IDS都可以檢測(cè)到的！# %u編碼，是用來(lái)代表Unicode/wide特征字符，但微軟IIS web服務(wù)器支持這種非標(biāo)準(zhǔn)的web請(qǐng)求編碼方式由于%u編碼不是標(biāo)準(zhǔn)的編碼，IDS系統(tǒng)不能解碼%u，所以可以繞過(guò)IDS的檢測(cè)。例如:

我們使用下列的編碼方式就可以繞過(guò)一些NIDS對(duì)".ida"的攻擊的檢測(cè)。

GET /abc.id%u0061 HTTP/1.0

不過(guò)，snort1.8可以檢測(cè)到這種編碼后的攻擊，但有一些公司的IDS沒(méi)注意到這個(gè)問(wèn)題。解決辦法主要就是在規(guī)則匹配前對(duì)URL內(nèi)容的%u編碼進(jìn)行解碼后匹配。 #unicode編碼，主要針對(duì)IIS，將URL中的一些特定的字符或字符串（主要是針對(duì)一些IDS匹配的規(guī)則內(nèi)容）用unicode編碼表示，例如：

我們使用下列的編碼方式就可以繞過(guò)一些NIDS對(duì)".ida"的攻擊的檢測(cè)。

GET /abc.id%c1%01 HTTP/1.0

snort1.8目前好象不能檢測(cè)到這種編碼后的攻擊。采用通配符如"*string*"匹配的很多IDS應(yīng)該都存在此類(lèi)問(wèn)題。解決辦法就是在規(guī)則匹配前對(duì)URL內(nèi)容的unicode編碼進(jìn)行解碼后匹配。

㈡網(wǎng)絡(luò)中斜線問(wèn)題即"/"和"\"。# "/" 問(wèn)題：

如果在HTTP的提交的請(qǐng)求中把'/' 轉(zhuǎn)換成 '//'，如"/cgi-bin/test.cgi"轉(zhuǎn)換成"//cgi-bin//test.cgi"，雖然兩個(gè)字符串不匹配，但對(duì)許多web服務(wù)器的解釋是一樣的。如果把雙斜線換成三斜線或更多效果也是一樣的。目前有些IDS無(wú)法檢測(cè)到這種類(lèi)型的請(qǐng)求。 # "\"問(wèn)題：Microsoft用'\'來(lái)分隔目錄，Unix用'/'來(lái)分隔，而HTTP RFC規(guī)定用'/'， Microsoft的web服務(wù)器如IIS 會(huì)主動(dòng)把'/' 轉(zhuǎn)換成 '\'。

例如發(fā)送"/cgi-bin\test.cgi"之類(lèi)的命令，IIS可以正確識(shí)別，但這樣IDS就不會(huì)匹配"/cgi-bin/test.cgi"了，此法可以逃避一些IDS。

㈢增加目錄問(wèn)題：

插入一些無(wú)用的特殊字符，使其與IDS的檢測(cè)內(nèi)容不匹配。 如'..'意思是父目錄，'.'意思是子目錄，window下的"c:\tmp\.\.\.\.\"的意思就是"c:\tmp\"；相應(yīng)的unix下的"/tmp/././././"和"/tmp/"等價(jià)。對(duì)"/cgi-bin/phf"可以任意變化成"/./cgi-bin/././phf等形式。

例如：

GET /cgi-bin/blahblah/../test.cgi HTTP/1.0實(shí)際和"/cgi-bin/test.cgi"一樣

目前一般IDS都能識(shí)別。 很多智能的IDS會(huì)把請(qǐng)求還原成正常的形式。

㈣不規(guī)則方式問(wèn)題:

#用tab替換空格（對(duì)IIS不適用）：智能的IDS一般在客戶端的數(shù)據(jù)中取出URL請(qǐng)求，截去
變量，然后按照HTTP的語(yǔ)法格式檢查請(qǐng)求。在HTTP RFC 中，http v1.0的請(qǐng)求格式如下：Method URI HTTP/ Version CRLF CRLFHTTP是按照空格來(lái)把請(qǐng)求分成三部分的。但是，Apache 1.3.6和其以后的版本（早些時(shí)候的版本可能也是）允許用tab去請(qǐng)求：Method URI HTTP/ Version CRLF CRLF這會(huì)使那些根據(jù)RFC協(xié)議格式處理這個(gè)請(qǐng)求的程序失敗。但有的IDS為了減少誤報(bào)會(huì)在匹配時(shí)用上空格。如"/phf"會(huì)很容易在字符串中匹配，但"/phf（空格）"會(huì)減少很多誤報(bào)， 這時(shí)對(duì)用tab的請(qǐng)求就沒(méi)法匹配了。

# NULL方式：構(gòu)造如下的請(qǐng)求： GET%00 /cgi-bin/test.cgi HTTP/1.0， 由于在C語(yǔ)言中很多字符串處理函數(shù)用NULL作為字符串的結(jié)尾，如果IDS是利用c函數(shù)處理字符串的話，IDS就不可匹配N(xiāo)ULL后面的字符串了。這種方式適合IIS，Apache不能處理%00。

㈤命令問(wèn)題：

許多IDS系統(tǒng)檢測(cè)時(shí)缺省認(rèn)為客戶提交的請(qǐng)求是用GET提交的，如GET /cgi-bin/test.cgi。但是相同的請(qǐng)求用HEAD命令也能實(shí)現(xiàn)，如用HEAD發(fā)送：HEAD /cgi-bin/test.cgi，則有些依靠get方法匹配的IDS系統(tǒng)就不會(huì)檢測(cè)到這個(gè)掃描。

㈥會(huì)話組合問(wèn)題：

把請(qǐng)求分開(kāi)放在不同的包文中發(fā)出 D D注意不是分片，則IDS可能就不會(huì)匹配出攻擊了。例如，請(qǐng)求"GET / HTTP/1.0"可以放在不同的包文中("GE", "T ", "/", " H", "T", "TP", "/1", ".0")，但不能逃過(guò)一些采用協(xié)議分析和會(huì)話重組技術(shù)的IDS。

㈦長(zhǎng)URL（Long URLs）問(wèn)題：

一些原始的IDS為了提高效率往往只檢查前xx個(gè)字節(jié)，通常情況這樣很正確，因?yàn)檎?qǐng)求是在數(shù)據(jù)的最前面的，但是如果構(gòu)造一個(gè)很長(zhǎng)的請(qǐng)求：
GET /rfprfprfprfp/../cgi-bin/test.cgi HTTP/1.0，
超過(guò)了IDS檢測(cè)的長(zhǎng)度，這樣就會(huì)使IDS檢測(cè)不到后面的CGI。通常可以在請(qǐng)求中包涵1-2K個(gè)隨機(jī)字符，但是有一些IDS會(huì)根據(jù)某些協(xié)議請(qǐng)求的長(zhǎng)度來(lái)判斷是否是緩沖區(qū)溢出，這時(shí)IDS就會(huì)對(duì)此類(lèi)掃描誤報(bào)為緩沖區(qū)溢出！

㈧虛假的請(qǐng)求結(jié)束問(wèn)題：

對(duì)有些智能的IDS來(lái)說(shuō)，為了提高效率上和減少占有系統(tǒng)資源，對(duì)客戶端發(fā)過(guò)來(lái)的數(shù)據(jù),一般只會(huì)處理請(qǐng)求部分。

例如發(fā)送如下請(qǐng)求：

GET /%20HTTP/1.0%0d%0aHeader:%20/../../cgi-bin/test.cgi HTTP/1.0\r\n\r\n

解碼后是這樣的：

GET / HTTP/1.0\r\nHeader: /../../cgi-bin/test.cgi HTTP/1.0\r\n\r\n

這是一個(gè)正確的請(qǐng)求，但對(duì)某些智能的IDS只會(huì)截取GET的命令行，發(fā)現(xiàn)"HTTP/1.0\r\n"后就結(jié)束，然后對(duì)截取得部分進(jìn)行操作，所以智能的IDS就不能正確報(bào)告基于此cgi的攻擊。

㈨大小寫(xiě)敏感問(wèn)題：

DOS/Windows與unix不同，它對(duì)大小寫(xiě)不敏感。例如：對(duì)IIS來(lái)說(shuō)使用大小寫(xiě)是一樣的，對(duì)有的老式IDS來(lái)說(shuō)，可能造成不匹配。

針對(duì)HTTP請(qǐng)求進(jìn)行欺騙的工具主要是Whisker，它采用了上面的一些技術(shù)進(jìn)行WWW掃描，目前的IDS能發(fā)現(xiàn)絕大部分的欺騙方式，但對(duì)于采用URL編碼（尤其是unicode編碼）和不規(guī)則方式（如TAB替換空格）的掃描，有相當(dāng)一部分IDS可能檢測(cè)不到！
 

【編輯推薦】

1. 如何構(gòu)建入門(mén)級(jí)IDS
2. IDS漏洞分析與黑客入侵手法
3. 測(cè)試評(píng)估IDS的性能指標(biāo)
4. 正確評(píng)估IDS性能的標(biāo)準(zhǔn)與步驟
5. 企業(yè)測(cè)試IDS的四條重要標(biāo)準(zhǔn)