入侵檢測(cè)系統(tǒng)(IDS)的弱點(diǎn)和局限

第第頁(yè)入侵檢測(cè)系統(tǒng)(IDS)的弱點(diǎn)和局限入侵檢測(cè)系統(tǒng)(IDS)的弱點(diǎn)和局限

發(fā)表于：2023-06-23來(lái)源：：點(diǎn)擊數(shù)：標(biāo)簽：

NIDS通過(guò)從網(wǎng)絡(luò)上得到數(shù)據(jù)包進(jìn)行分析，從而檢測(cè)和識(shí)別出系統(tǒng)中的未授權(quán)或異?，F(xiàn)象。1.1網(wǎng)絡(luò)局限1.1.1交換網(wǎng)絡(luò)環(huán)境由于共享式HUB可以進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，將給網(wǎng)絡(luò)安全帶來(lái)極大的威脅，故而現(xiàn)在網(wǎng)絡(luò)，尤其是高速網(wǎng)絡(luò)基本上都采用交換機(jī)，從而給NIDS的網(wǎng)絡(luò)監(jiān)聽(tīng)

NIDS通過(guò)從網(wǎng)絡(luò)上得到數(shù)據(jù)包進(jìn)行分析，從而檢測(cè)和識(shí)別出系統(tǒng)中的未授權(quán)或異常現(xiàn)象。

1.1網(wǎng)絡(luò)局限

1.1.1交換網(wǎng)絡(luò)環(huán)境

由于共享式HUB可以進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，將給網(wǎng)絡(luò)安全帶來(lái)極大的威脅，故而現(xiàn)在網(wǎng)絡(luò)，尤其是高速網(wǎng)絡(luò)基本上都采用交換機(jī)，從而給NIDS的網(wǎng)絡(luò)監(jiān)聽(tīng)?zhēng)?lái)麻煩。

監(jiān)聽(tīng)端口

現(xiàn)在較好的交換機(jī)都支持監(jiān)聽(tīng)端口，故很多NIDS都連接到監(jiān)聽(tīng)端口上。

通常連接到交換機(jī)時(shí)都是全雙工的，即在100MB的交換機(jī)上雙向流量可能達(dá)到200MB，但監(jiān)聽(tīng)端口的流量最多達(dá)到100MB，從而導(dǎo)致交換機(jī)丟包。

為了節(jié)省交換機(jī)端口，很可能配置為一個(gè)交換機(jī)端口監(jiān)聽(tīng)多個(gè)其它端口，在正常的流量下，監(jiān)聽(tīng)端口能夠全部監(jiān)聽(tīng)，但在受到攻擊的時(shí)候，網(wǎng)絡(luò)流量可能加大，從而使被監(jiān)聽(tīng)的端口流量總和超過(guò)監(jiān)聽(tīng)端口的上限，引起交換機(jī)丟包。

一般的交換機(jī)在負(fù)載較大的時(shí)候，監(jiān)聽(tīng)端口的速度趕不上其它端口的速度，從而導(dǎo)致交換機(jī)丟包。

增加監(jiān)聽(tīng)端口即意味做需要更多的交換機(jī)端口，這可能需要購(gòu)買(mǎi)額外的交換機(jī)，甚至修改網(wǎng)絡(luò)結(jié)構(gòu)(例如原來(lái)在一臺(tái)交換機(jī)上的一個(gè)VLAN現(xiàn)在需要分布到兩臺(tái)交換機(jī)上)。

支持監(jiān)聽(tīng)的交換機(jī)比不支持的交換機(jī)要貴許多，很多網(wǎng)絡(luò)在設(shè)計(jì)時(shí)并沒(méi)有考慮到網(wǎng)絡(luò)監(jiān)聽(tīng)的需求，購(gòu)買(mǎi)的交換機(jī)并不支持網(wǎng)絡(luò)監(jiān)聽(tīng)，或者監(jiān)聽(tīng)性能不好，從而在準(zhǔn)備安裝NIDS的時(shí)候需要更換交換機(jī)。

共享式HUB

在需要監(jiān)聽(tīng)的網(wǎng)線(xiàn)中連接一個(gè)共享式HUB，從而實(shí)現(xiàn)監(jiān)聽(tīng)的功能。對(duì)于小公司而言，在公司與I之間放置一個(gè)NIDS，是一個(gè)相對(duì)廉價(jià)并且比較容易實(shí)現(xiàn)的方案。

采用HUB，將導(dǎo)致主機(jī)的網(wǎng)絡(luò)連接由全雙工變?yōu)榘腚p工，并且如果NIDS發(fā)送的數(shù)據(jù)通過(guò)此HUB的話(huà)，將增加沖突的可能。

線(xiàn)纜分流

采用特殊的設(shè)備，直接從網(wǎng)線(xiàn)中拷貝一份相同的數(shù)據(jù)，從一根網(wǎng)線(xiàn)中將拷貝出兩份(每個(gè)方向一份)，連接到支持監(jiān)聽(tīng)的交換機(jī)上，NIDS再連接到此交換機(jī)上。這種方案不會(huì)影響現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)，但需要增加交換機(jī)，價(jià)格不菲，并且面臨與監(jiān)聽(tīng)端口同樣的問(wèn)題。

1.1.2網(wǎng)絡(luò)拓?fù)渚窒?/p>

對(duì)于一個(gè)較復(fù)雜的網(wǎng)絡(luò)而言，通過(guò)精心的發(fā)包，可以導(dǎo)致NIDS與受保護(hù)的主機(jī)收到的包的內(nèi)容或者順序不一樣，從而繞過(guò)NIDS的監(jiān)測(cè)。

其它路由

由于一些非技術(shù)的因素，可能存在其它的路由可以繞過(guò)NIDS到達(dá)受保護(hù)主機(jī)(例如某個(gè)被忽略的Modem，但Modem旁沒(méi)有安裝NIDS)。

如果IP源路由選項(xiàng)允許的話(huà)，可以通過(guò)精心設(shè)計(jì)IP路由繞過(guò)NIDS。

TTL

如果數(shù)據(jù)包到達(dá)NIDS與受保護(hù)的主機(jī)的HOP數(shù)不一樣。則可以通過(guò)精心設(shè)置TTL值來(lái)使某個(gè)數(shù)據(jù)包只能被NIDS或者只能被受保護(hù)主機(jī)收到，從而使NIDS的Sensor與受保護(hù)主機(jī)收到的數(shù)據(jù)包不一樣，從而繞過(guò)NIDS的監(jiān)測(cè)。

MTU

如果NIDS的MTU與受保護(hù)主機(jī)的MTU不一致的話(huà)(由于受保護(hù)的主機(jī)各種各樣，其MTU設(shè)置也不一樣)，則可以精心設(shè)置MTU處于兩者之間，并設(shè)置此包不可分片，從而使NIDS的Sensor與受保護(hù)主機(jī)收到的數(shù)據(jù)包不一樣，從而繞過(guò)NIDS的監(jiān)測(cè)。

TOS

有些網(wǎng)絡(luò)設(shè)備會(huì)處理TOS選項(xiàng)，如果NIDS與受保護(hù)主機(jī)各自連接的網(wǎng)絡(luò)設(shè)備處理不一樣的話(huà)，通過(guò)精心設(shè)置TOS選項(xiàng)，將會(huì)導(dǎo)致NDIS的Sensor與受保護(hù)主機(jī)收到的數(shù)據(jù)包的順序不一樣，于是有可能導(dǎo)致NIDS重組后的數(shù)據(jù)包與被保護(hù)主