Category Archives: 黑客防线

很多人可能都知道asp,php的编程要防止sql注入漏洞,而并不知道jsp编程同样也需要防备sql注入漏洞.其实,一旦jsp代码有注入漏洞,将直接影响到整个系统的安全。本文就是主要展示一下我的一次JSP+MYSQL注入导出webshell的过程。 www.***.***.cn是国内某一个著名研究所的网站，我们在这里对其进行善意的测试。当然，在写此文之前我已经将漏洞通知了网站管理员.并对文中所有的图片进行了处理,还粘贴了个我大三的时候自己发明的一个数学公式的图,希望让大家同时可以领会到数学更是博大精深(呵呵,当然研究数学更是人间正道). 1.寻找注入点 进入其首页，在新闻里面随便点了个新闻浏览，习惯地在其地址后面加个单引号’，链接上去后出现如图1所示。 screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new windownCTRL+Mouse wheel to zoom in/out';}" style="CURSOR: hand" onclick="if(!this.resized) {return true;} else {window.open('http://www.anqn.com/pic/3/a2007-10-26-734589.jpg');}" alt="" src="http://www.anqn.com/pic/3/a2007-10-26-734589.jpg" width=716 onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new windownCTRL+Mouse wheel to zoom … Continue reading →

局域网监瑞脑消金兽听的原理、实现与防范 一、引言 随着计算机技术的发展，网络已日益成为生活中不可或缺的工具，但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于局域网中采用广播方式，因此，在某个广播域中可以监瑞脑消金兽听到所有的信息包。而黑客通过对信息包进行分析，就能获取局域网上传输的一些重要信息。事实上，很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息。但另一方面，我们对黑客入侵活动和其它网络犯罪进行侦查、取证时，也可以使用网络监瑞脑消金兽听技术来获取必要的信息。因此，了解以太网监瑞脑消金兽听技术的原理、实现方法和防范措施就显得尤为重要。 二、局域网监瑞脑消金兽听的基本原理 根据IEEE的描述，局域网技术是"把分散在一个建筑物或相邻几个建筑物中的计算机、终端、大容量存储器的外围设备、控制器、显示器、以及为连接其它网络而使用的网络连接器等相互连接起来，以很高的速度进行通讯的手段"。 局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理，一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。 1. 网络监瑞脑消金兽听 网络监瑞脑消金兽听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监瑞脑消金兽听技术进行攻击并不是一件难事，只要将网络接口设置成监瑞脑消金兽听模式，便可以源源不断地将网上传输的信息截获。网络监瑞脑消金兽听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。 2. 在局域网实现监瑞脑消金兽听的基本原理 对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监瑞脑消金兽听模式下，无论数据包中的目标地址是什么，主机都将接收（当然只能监瑞脑消金兽听经过自己网络接口的那些包）。 在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP地址相对应的48位的地址。 传输数据时，包含物理地址的帧从网络接口（网卡）发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。 然而，当主机工作在监瑞脑消金兽听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监瑞脑消金兽听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监瑞脑消金兽听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监瑞脑消金兽听到的信息中提取出感兴趣的部分。同理，正确的使用网络监瑞脑消金兽听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。 三、局域网监瑞脑消金兽听的简单实现 要使主机工作在监瑞脑消金兽听模式下，需要向网络接口发出I/O控制命令，将其设置为监瑞脑消金兽听模式。在Unix系统中，发送这些命令需要超级用户的权限。在Windows系列操作系统中，则没有这个限制。要实现网络监瑞脑消金兽听，可以自己用相关的计算机语言和函数编写出功能强大的网络监瑞脑消金兽听程序，也可以使用一些现成的监瑞脑消金兽听软件，在很多黑客网站或从事网络安全管理的网站都有。 四、如何检测并防范网络监瑞脑消金兽听 网络监瑞脑消金兽听是很难被发现的，因为运行网络监瑞脑消金兽听的主机只是被动地接收在局域局上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包。 1. 对可能存在的网络监瑞脑消金兽听的检测 (1）对于怀疑运行监瑞脑消金兽听程序的机器，用正确的IP地址和错误的物理地址ping，运行监瑞脑消金兽听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处理监瑞脑消金兽听状态的机器能接收，但如果他的IPstack不再次反向检查的话，就会响应。 （2）向网上发大量不存在的物理地址的包，由于监瑞脑消金兽听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。 （3）使用反监瑞脑消金兽听工具如antisniffer等进行检测 2. 对网络监瑞脑消金兽听的防范措施 （1）从逻辑或物理上对网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监瑞脑消金兽听。 （2）以交换式集线器代替共享式集线器 对局域网的中心交换机进行网络分段后，局域网监瑞脑消金兽听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所监瑞脑消金兽听。 因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监瑞脑消金兽听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。但广播包和多播包内的关键信息，要远远少于单播包。 （3）使用加密技术 数据经过加密后，通过监瑞脑消金兽听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。 （4）划分VLAN 运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监瑞脑消金兽听的入侵。 五、结束语 网络监瑞脑消金兽听技术作为一种工具，总是扮演着正反两方面的角色。对于入侵者来说，最喜欢的莫过于用户的口令，通过网络监瑞脑消金兽听可以很容易地获得这些关键信息。而对于入侵检测和追踪者来说，网络监瑞脑消金兽听技术又能够在与入侵者的斗争中发挥重要的作用。鉴于目前的网络安全现状，我们应该进一步挖掘网络监瑞脑消金兽听技术的细节，从技术基础上掌握先机，才能在与入侵者的斗争中取得胜利。 … Continue reading →

话题一:木马等恶意程序肆虐,传统的病毒概念被不断拓宽,杀毒软件厂商如何应对? 话题二:木马时代杀毒软件是否将走向末路﹖ 话题三:网络环境不断变化,病毒类型不断演进,杀毒软件厂商怎样创新? 嘉宾: 趋势科技中国区总裁 叶伟伦/赛门铁克大中国区副总裁 吴锡源/江民科技总裁 陶新宇/ 瑞星公司副总裁 毛一丁/金山软件副总裁 葛柯/清华大学网络与信息安全研究室主任 段海新 　　话题一:木马等恶意程序肆虐,传统的病毒概念被不断拓宽,杀毒软件厂商如何应对? 　　陶新宇:根据江民科技2007年上半年的计算机病毒疫情报告,上半年全国共有1400多万台计算机感染了病毒,其中感染木马病毒的达948多万台,占病毒感染总数的67.38%,这些木马病毒90%以上都是国产木马病毒.总体来看,未来的反病毒软件已经脱离单纯的杀毒概念,将演变成一个具有杀毒、反黑客、反木马、反流氓软件以及系统漏洞安全管理的综合性安全软件. 　　吴锡源:基于签名的反病毒软件已远远不能应对当前的网络威胁.网络安全产品必须不断创新,提供包括基于行为和签名的保护,易于操作的分层安全将更加重要.原来业内将反病毒、反间谍软件和防火墙捆佳节又重阳绑在一起组合防毒,如今这一捆佳节又重阳绑组合必须融入HIPS、设备控制(移动存储设备)、防止数据泄露、移动设备保护、网络端点接入控制等技术,才能发挥更高功效. 　　毛一丁:杀毒软件厂商应该提供更为全面、立体化的安全体系保护方案.用户也应该选择一套适合自己的全面的解决方案,不要只安装一个杀毒软件、防火墙或反木马软件,这样单独使用并不能保证网络安全.目前,瑞星杀毒软件已能够与操作系统紧密结合,干净彻底地清除已知恶意病毒、木马等程序.针对病毒的危险行为分析、监测和事前防范,在国际杀毒软件界属于新的领域,各厂商都投入了很大的精力.瑞星在这方面取得了不少成果,并将很快应用到自己的产品中. 　　叶伟伦:随着类似广告程序、木马等恶意程序的不断出现,传统的病毒概念被不断拓宽,未来的信息安全已不仅仅是查杀病毒,而是能防、能杀、能清除病毒的综合性防护体系.中国用户面临着来自国外及本土的双重威胁,我们认为杀毒软件厂商应同时具备国际病毒库的涵盖量,以及对本土病毒库的准确掌握和快速反应.只有同时掌握全球病毒码资源和本土病毒码资源,才能更好地为用户提供高效的安全方案. 　　葛柯:现在查杀病毒主要还是根据已知病毒的特征码来查杀,而未知病毒因为没有特征码,无法判断它是病毒还是合法程序,所以很难查杀.这是目前采用的技术所决定的.当然也有一些新技术如金山毒霸的形势判断技术等已逐渐应用,但从目前的技术成熟度来看还没有起到根本性的作用.所以,大部分的杀毒软件目前还是以验证特征码的形式来查杀病毒. 　　话题二:木马时代杀毒软件是否将走向末路﹖ 　　叶伟伦:杀毒只是网络安全的一个方面,杀毒软件不会走向末路,未来应该有防毒、杀毒、清除恶意软件一体化的产品和服务出现. 　　段海新:我不认为杀毒软件将走向末路,因为杀毒软件所杀的是广义上的恶意代码,不只是传统的病毒.我认为如果微软把杀毒功能集成在操作系统中,倒可能给杀毒软件厂商带来很大威胁,杀毒软件厂商可能无用武之地. 　　毛一丁:走向末路的是传统杀毒软件,而查杀病毒、清除木马、保护用户安全的需求将长期存在,能够自我完善、增强功能应对环境变化的信息安全软件也将焕发出勃勃生机. 　　陶新宇:杀毒软件不会走向末路,它仍然会是人们保障网络安全的利器.面对变化日益繁多的病毒,充分发挥国内杀毒软件厂商在本土化方面的优势、坚持技术的不断自主创新才是杀毒软件厂商可持续发展的关键.虽然病毒技术在不断翻新变化,但在与计算机病毒的不断较量中,杀毒技术也有了质的飞跃.不断的技术创新、充分发挥本土化优势,是国内杀毒软件厂商制胜市场的关键法则. 　　话题三:网络环境不断变化,病毒类型不断演进,杀毒软件厂商怎样创新? 　　毛一丁:现在杀毒软件的主流还是基于特征码的检测,这对于检测加壳或变形的病毒非常困难.因此,防病毒程序应该更多地对病毒的行为加以检测,以适应病毒快速的变形和变种.企业之间进行合作也是抵御病毒的一种方式.在这方面,瑞星与微软有着良好的技术合作.同时,瑞星一直在技术方面投入很大精力,包括2007版碎甲技术、虚拟机脱壳技术,都可以很好地解决病毒制作者们使用的小伎俩. 　　叶伟伦:网络环境的变化和病毒类型的演进必然要求杀毒软件厂商不断创新,为用户提供有效的防护产品和服务.杀毒软件厂商必须改变过去被动的接受形式而将杀毒的需求与新技术紧密地结合在一起,形成面向Web病毒的主动防御系统. 　　陶新宇:我们提出了将基于病毒行为判断的未知病毒主动防御技术与病毒特征码技术相结合的反病毒策略,同时采用了先进的黑白名单技术,将用户常用的操作系统和应用程序列入白名单,有效解决了误报的问题.江民科技推出的未知病毒主动防御系统,对病毒能起到很好的防范作用. 　　段海新:软件只是一个工具,究竟是“恶意”还是“善意”,目前还没有统一的界定标准.所以,用户无法判断一个商业化的软件是否恶意.有关部门正着手制定针对恶意软件的界定标准及监管办法,这将对杀毒软件厂商下一步的产品研发及市场推广具有指导意义. 原载《中国高新技术产业导报》

注意陷阱!请注意我们身边的网络隐私与安全 当你轻松在网上漫游时,有没有注意到脚下随处可见的陷阱? 拥有一个良好的上网习惯可以保证你的人身财产安全,以下给大家一些Tips,希望对大家有用. 自从某知名拍卖网站成立那天起,我就注册了账号,但不知为什么,直到现在都没有通过实名认证.几次购物之后,我在个人资料里将自己的名字换成了一个化名“XX”,继续我的购物之旅.之后没多久,奇迹出现了:我收到来自某护肤品公司寄来的精美广告册──不是E-Mail,是通过邮局寄来的,收件人地址是我的住址,至于收件人姓名,我没有看错,就是我前不久刚刚给自己取好的化名“XX”. ── 在不同的网站使用不同的姓名(如果可能的话),你会更清楚是谁把自己卖了. 上过招聘网站吗?我曾经上过很多个,还傻乎乎的把自己的资料认认真真的填了进去.很快就有公司给我打电话,让我去面试了.虽然我还没申请任何职位,但还是很好奇,这是家什么公司?现在我来告诉你:他们在某幢一流的办公楼买下了一个楼层做办公室,大多数人都在忙碌的工作着,而某些人则是在各大招聘网站注册公司账户,搜索、筛选求职者,向符合“条件”的求职者直接用电话发出面试通知.很多人因为求职心切而赶来参加”面试“,而他们只想让你替你自己买一份保险──买家和卖家都是你自己. ── 在接到面试通知的时候,一定要问清楚对方来路. 和网友通电话,已经不是什么稀奇的事情了.但是如果你的”网友“是电信或者移动公司的内部人士呢?你有没有想过,就此你的个人信息可能会被人一览无余?这是我一个朋友的经历.只是留给网友一个手机号码,她的姓名、身份证号码(可能是前面X位)通通泄漏了.那个网友可能没什么恶意,只是出于”好奇“,并且想在和对方通话时显得自己”神通广大“. ── 与此同时,据说手机实名制也在如火如荼的进行着.我不了解移动、电信公司内部员工到底是怎样的权限分配,有多少人能看到客户资料,希望知情访客赐教. 前几天CB上有一篇文章,说某国某教师用黑板擦“教训”过一个学生而被学校开除.虽然事情本身已经过去,却被google留了”案底”,结果“这些新闻让他不得不面对有希望的顾主的拒绝”.那些说这个教师“活该”的人,有的人应该去补习法学,而有的人应该把孔子从圣坛上推下来,自己一屁股坐上去. ── 如果你不小心走进了女厕所而一辈子被指责为“偷玉枕纱厨窥狂”,该怎么办? 网络上的某些事,先不要完全寄希望于立法,因为法律是讲证据的,我们没有举证能力,而对方有毁证能力;更不要寄希望于某些公司或者团体的“自律”.他们就是骗骗我们,可能只是骗骗自己. 用户认为谷歌没有权利搜索个人隐私 谷歌(Google)征服世界的努力没有任何收敛迹象——对不起,应该是“组织全球信息,并使其普及、有用”.最近,该公司承诺,如果拍卖方式符合它的要求,它将投入至少46亿美元竞拍一家手机服务运营商.另外,因为它太急于招聘员工,导致招聘数量超过计划,结果是今年第二季度收益没能达到分析师的预期. 十几天前,在太阳谷出席艾伦薄雾浓云愁永昼公司(Allen and Company)举办的媒体与科技管理人员研讨会时,谷歌首席执行官埃里克•施密特(Eric Schmidt)明确表示,抵东篱把酒黄昏后制谷歌是无用的.他驳斥了Facebook这类社交网络拒绝让搜索引擎搜索其内容的做法,形容这是“短暂”现象.他还抨击了维亚康姆(Viacom),形容该媒体集团是一个由律师操控的机构.维亚康姆曾就谷歌的视频网站YouTube状告谷歌. 这样的评论让我对施密特感到担忧.他曾是一个态度温和、思想开放的人,现在却变得越来越自大.这两个评论的一个共同点是一种轻蔑,其对象是任何在谷歌的搜索算法面前想要隐藏私生活信息和保护知识产权的人.这些话暗示,谷歌总有一天能将所有它想发布的信息公之于众,而且认为这样做完全合理.这两点都不正确. 首先谈谈个人隐私.比起年长者,年轻人更能接受公布个人信息,例如在博客和社交网站上闲谈和发布照片.这可能标志着社会看法的重大转变,但也完全可能——借施密特所言——是短暂现象.只需几次应聘被拒,或受到雇主与大学的纪律处分(牛津已经开始在Facebook上搜寻有关不良纪录),个人隐私就将重新赢得重视. 虽然对于这些组织和那些好管闲事的人而言,能在网上搜到他人的生活是有用的,但对于那些自己的生活被人搜索的人来说,就不是这样了.Facebook的一个诱人之处就在于该网站有个人隐私控制政策,可以使用户只和朋友或自己选择的社交圈子分享信息.如果每个人的信息都完全开放,并显示在谷歌搜索结果里,Facebook将很快失去对成年用户的吸引力. 谷歌和维亚康姆就YouTube网站侵犯版权的争端也有类似之处:YouTube想利用维亚康姆拥有版权的一些东西——如《The Daily Show》和《The Colbert Report》的电视节目视频片段.YouTube希望能和维亚康姆达成协议,分享这些片段所带来的广告收益,就像它与华纳唱片(Warner)和环球唱片(Universal)等唱片公司所达成的协议一样. 在双方达成协议之前,YouTube和维亚康姆就该网站上的侵权视频片段玩起了猫捉老鼠的游戏.YouTube警告用户不要上传他人有版权保护的内容,但并没有设置一个过滤系统,来指认并拦截盗版视频片段.(但它有一个类似的系统,来保护与其签署协议的唱片公司的音乐.)相反,YouTube要求电视台和电影公司监控该网站,并指认侵权片断,然后才会应要求撤下这些片段. 现状对YouTube没什么不好(自谷歌去年以16.5亿元收购YouTube后,对施密特也没什么不好).维亚康姆花了时间和精力来监控YouTube,而在维亚康姆提出撤销通知前,侵权片断仍可以留在上面.要想区分YouTube上的视频片断有多少是业余的、有多少是专业的,根本不可能,但YouTube占有美国60%的视频共享市场,显然要归功于它在版权保护方面的拖延. YouTube辩称,它拿侵权行为没辙,也没有大动干戈的必要.家里有孩子的人对此应该觉得耳熟.YouTube说视频自动过滤非常困难;该网站正和包括迪斯尼(Walt Disney)在内的一些公司测试一套系统,但不知道何时可以正式投入使用.与此同时,YouTube坚称美国《数字千禧年著作权法》(Digital Millennium Copyright Act)或欧洲法律并不要求拦截每一个侵权行为. 我怀疑,谷歌是否像施密特所说的那样,在法律上处于无懈可击的地位.美国国会通过《数字千禧年著作权法》的相关条款,来保护互联网服务供应商和其它企业,使其不会因用户的侵权行为而承担法律责任.但在侵犯版权问题上,YouTube并不像互联网服务供应商那样处于中立地位,其商业模式并不仅仅是提供带宽,而是鼓励用户上传和分享视频,而其中很多东西是属于其他人的,这一点,YouTube心知肚明. 在道德方面,YouTube是绝对站不住脚的.如果你在自己家中搞派对,当邻居上门抱怨噪音过大之后,你说了声“对不起”并调低了音量,但五分钟之后又再度允许一个客人调高音量,那你显然是不对的.你的所作所为也许能够逃避法律制裁,并不意味着你做得对. 谷歌的信条是“不要作恶”(Don't … Continue reading →

黑客经验:针对IDS的逃避技术与相关对策 来源：赛迪网安全社区    作者：jcx860 【编者按：文中内容仅供参考，切勿用于不当之处！】 在网络蓬勃发展的几天，网络安全问题日益突出。网络上的黑、白两道在网络安全的各个领域都展开了激烈的竞争。黑帽社团不断推出躲避或者越过网络入侵检测系统(Network Intrusion Detection System,NIDS)的新技术，而NIDS的开发者不断地在自己的产品中加入对这些技术的检测。但是，由于NIDS本身的局限性，胜利的天平正在向黑帽子倾斜。本文将讨论一些基本的IDS躲避技术，以及如何识破这些技术。 1.字符串匹配的弱点 针对基本字符串匹配弱点的IDS躲避技术是最早被提出和实现的。一些基于特征码的入侵检测设备几乎完全依赖于字符串匹配算法，而对于一个编写很差的特征码，攻击者可以轻松地破坏对其的字符串匹配。虽然不是所有的入侵检测系统都是纯粹基于特征码检测的，但是绝大多数对字符串匹配算法有很大的依赖。这里，我们将使用开放源码工具snort的特征码来进行讨论。 在UNIX系统中，/etc/passwd是一个重要的文件，它包含用户名、组成员关系和为用户分配的shell等信息。我们就从监视对/etc/passwd文件的访问开始，下面是用于检测的snort检测规则： alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122;rev:1) snort使用字符串匹配算法对包含特征码(/etc/passwd)的HTTP请求进行检测。但是，这个规则的特征码过于简单了，攻击者修改攻击字符串可以很轻松地逃过检测(我们暂时不考虑攻击请求是通过HTTP发出的)。例如，把攻击请求由GET /etc/passwd改为GET /etc/////passwd，或者GET /etc/rc.d/.././/passwd，修改方式简直不计其数。这是最基本的娶亲检测逃避技术，对这种技术的检测也相对容易一些，只要在编写特征码时能够仔细考虑一下攻击可能出现的变体。目前大多数流行入侵检测系统都有非常强大的字符串匹配能力，足以检测此类攻击的大多数变体。不过，仍然有些编写不太好的特征码可以给攻击者以可乘之机。 攻击者还可以在此基础上再加以变化，几乎不费吹灰之力就可以加大入侵检测系统的防御难度。例如在telnet之类的交互会话中，攻击者企图读取/etc/passwd文件。通常，入侵检测系统中存在很多特征码一些误用操作和后门等，但是这些特征码一般只包含黑客工具名、文件名和程序名。在获得/etc/passwd文件的内容时，我们不直接输入cat /etc/passwd等命令行，而是通过一个命令解释器(例如：perl)来实现我们的目的： badguy@host$ perl -e ‘$foo=pack(“C11”,47,101,116,99,47,112,97,115,115,119,100); @bam=`/bin/cat/ $foo`; print”@bam/n”;’ 从这个命令中，入侵检测系统根本就不会重组出/etc/passwd这些字符。显然，防御这种攻击就很困难了，因为这要求入侵检测系统必须能够理解这种解释器如何收到的命令，这恐怕不太现实。当然，入侵检测系统也可以对使用解释器的可疑行为进行报警，但是它很难对攻击行为进行精确的监视。 通过把字符串处理技术和字符替换技术结合到一起，我们可疑实现更复杂的字符串伪装。对于WEB请求，我们不必使用命令解释器，在我们的请求中使用16进制的URL即可，以下的请求可以被目标WEB服务器解释为/etc/passwd： … Continue reading →