- 相關(guān)推薦
兩種基于HTTP的通用IDS躲避技術(shù)
I.介紹
自從Rain Forest Puppy(RFP)的網(wǎng)絡(luò)掃描器whisker首次公布于眾以來[1],HTTP IDS躲避技術(shù)已經(jīng)逐漸流行。原先許多的HTTP IDS技術(shù),都是從whisker的第一個版本出現(xiàn)的,包括簡單的使用多個“/”的混淆目錄技術(shù),也包括更復(fù)雜的 - 在URL里插入“HTTP/1.0”以躲避那些搜索URL地址的IDS算法。
除了whisker中出現(xiàn)的躲避技術(shù),還有其他類型的HTTP混淆方法。其中的一個混淆URL的方法就是使用絕對URI與相對URI[2]。雖然這些方法很有趣,但是都不如whisker掃描中使用的方法常見。
下一個流行的躲避方法也是RFP發(fā)布的,利用了微軟互聯(lián)網(wǎng)信息服務(wù)器(IIS)的UTF-8 unicode解碼漏洞[3]。雖然是IIS的一個嚴重漏洞,它同時也給出了一個IDS未曾實現(xiàn)的URL編碼方法。目前為止,大部分IDS仍然只是關(guān)注以前whisker的ASCII編碼與目錄遍歷躲避技術(shù),對Unicode的UTF-8編碼卻沒有相應(yīng)的保護。Eric Hacker對這種類型的HTTP IDS躲避技術(shù),寫了一篇非常專業(yè)的文章[4]。本文也會對Hacker文中的一些觀點分析并解釋。我們將繼續(xù)Hacker的觀點并深入了解:這些編碼到底意味著什么,怎樣才能造出更奇怪的編碼。
本文介紹的其他種類的HTTP IDS躲避技術(shù),使用了HTTP協(xié)議的屬性。其中之一就是請求管道,以及使用內(nèi)容編碼頭并將HTTP請求的參數(shù)放置到請求負載中的技術(shù)。
II.IDS HTTP協(xié)議分析
為了能夠識別URL攻擊,IDS必須檢查HTTP的URL字段,看是否有惡意內(nèi)容。兩種最流行的IDS檢測方法 - 模式匹配和協(xié)議分析 - 都需要檢測URL中是否含有惡意內(nèi)容(通過某種形式的模式匹配或者HTTP協(xié)議分析)。
兩種方法的不同之處取決于你的目的,協(xié)議分析法只搜索HTTP流URL字段部分的惡意內(nèi)容,而模式匹配法的搜索范圍是整個數(shù)據(jù)包。
這兩種方法在處理惡意URL之前的行為是類似的。之后,協(xié)議分析法只需要對URL字段添加合適的解碼算法即可(它已經(jīng)有內(nèi)建的HTTP協(xié)議解碼引擎)。而模式匹配算法并不知道需要對包的哪一部分正;虼诵枰c某種形式的協(xié)議分析相結(jié)合,找到相應(yīng)的URL字段,才能使用相應(yīng)的解碼算法。某種形式的HTTP協(xié)議分析被添加到模式匹配法中,之后兩者又行為類似了。
由于這些IDS方法的類似性,本文討論的HTTP IDS躲避方法適用于各種類型的IDS。
第一種通用的IDS躲避方法是無效協(xié)議解析。舉個例子,如果HTTP URL沒有被正確發(fā)現(xiàn),那么惡意URL就不能被檢查出來,原因是:IDS沒有發(fā)現(xiàn)URL,就不能對URL進行解碼。
如果URL是正確的,IDS必須知道正確的解碼算法,否則,仍然不能得到正確的URL。這就是第二種IDS躲避技術(shù) - 無效協(xié)議字段解碼。
A. 無效協(xié)議解析
使用無效協(xié)議解析IDS躲避技術(shù),在RFP的whisker[1]和Bob Graham的SideStep[5]中給出了很多例子。這兩個程序的區(qū)別在于:whisker使用了有缺陷的IDS協(xié)議解析來躲避檢查,而SideStep使用正常的網(wǎng)絡(luò)層協(xié)議來躲避IDS的協(xié)議解碼器。
這種情況下,無效協(xié)議解析的躲避技術(shù),對于HTTP協(xié)議的兩個字段URL和URL參數(shù)是非常有效的。
例如:如果IDS的HTTP解碼器假設(shè)每個請求包只有一個URL,那么一個包里包含兩個URL,IDS就不能對第二個URL正確解析。這種技術(shù)在請求管道躲避技術(shù)中還會提到。
B.無效協(xié)議段解碼
無效協(xié)議段解碼可以測試IDS是否能夠處理特定協(xié)議段的各種類型的解碼。
如果是HTTP,主要的目標(biāo)就是URL字段。對于IDS,需要測試它與HTTP RFC編碼標(biāo)準的符合程度,還要看是否能支持特定Web服務(wù)器的編碼類型(例如IIS)。如果IDS不能對某種URL編碼進行正確解碼,攻擊者就能利用該編碼跳過對惡意URL的檢測。
[1] [2] [3] [4]
【兩種基于HTTP的通用IDS躲避技術(shù)】相關(guān)文章:
IDS04-29
基于性能的兩種安全標(biāo)準05-02
躲避04-30
基于兩種反饋控制的過程質(zhì)量監(jiān)控04-29
兩種發(fā)酵床養(yǎng)豬技術(shù)的比較04-27
防毒及郵件過濾·什么是HTTP性能04-26