1.字元串匹配的弱點
2.多變shell代碼(polymorphic shell code)
3.會話拼接(session splicing,叫會話分割更合適一些)
4.碎片攻擊
4.1.碎片覆蓋
4.2.碎片數據覆蓋
4.3.碎片超時
5.碎片和snort特徵碼
6.拒絕服務
結論
在網路蓬勃發展的幾天,網路安全問題日益突出.網路上的黑、白兩道在網路安全的各個領域都展開了激烈的競爭.黑帽社團不斷推出躲避或者越過網路入侵檢測系統(Network Intrusion Detection System,NIDS)的新技術,而NIDS的開發者不斷地在自己的產品中加入對這些技術的檢測.但是,由於NIDS本身的局限性,勝利的天平正在向黑帽子傾斜.本文將討論一些基本的IDS躲避技術,以及如何識破這些技術.
1.字元串匹配的弱點
針對基本字元串匹配弱點的IDS躲避技術是最早被提出和實現的.一些基於特徵碼的入侵檢測設備幾乎完全依賴於字元串匹配演算法,而對於一個編寫很差的特徵碼,攻擊者可以輕鬆地破壞對其的字元串匹配.雖然不是所有的入侵檢測系統都是純粹基於特徵碼檢測的,但是絕大多數對字元串匹配演算法有很大的依賴.這裡,我們將使用開放源碼工具snort的特徵碼來進行討論.
在UNIX系統中,/etc/passwd是一個重要的文件,它包含用戶名、組成員關係和為用戶分配的shell等信息.我們就從監視對/etc/passwd文件的訪問開始,下面是用於檢測的snort檢測規則:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";
flags: A ; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122;rev:1)
snort使用字元串匹配演算法對包含特徵碼(/etc/passwd)的HTTP請求進行檢測.但是,這個規則的特徵碼過於簡單了,攻擊者修改攻擊字元串可以很輕鬆地逃過檢測(我們暫時不考慮攻擊請求是通過HTTP發出的).例如,把攻擊請求由GET /etc/passwd改為GET /etc////passwd,或者GET /etc/rc.d/.././passwd,修改方式簡直不計其數.這是最基本的娶親檢測逃避技術,對這種技術的檢測也相對容易一些,只要在編寫特徵碼時能夠仔細考慮一下攻擊可能出現的變體.目前大多數流行入侵檢測系統都有非常強大的字元串匹配能力,足以檢測此類攻擊的大多數變體.不過,仍然有些編寫不太好的特徵碼可以給攻擊者以可乘之機.
攻擊者還可以在此基礎上再加以變化,幾乎不費吹灰之力就可以加大入侵檢測系統的防禦難度.例如在telnet之類的交互會話中,攻擊者企圖讀取/etc/passwd文件.通常,入侵檢測系統中存在很多特徵碼一些誤用操作和後門等,但是這些特徵碼一般只包含黑客工具名、文件名和程序名.在獲得/etc/passwd文件的內容時,我們不直接輸入cat /etc/passwd等命令行,而是通過一個命令解釋器(例如:perl)來實現我們的目的:
badguy@host$ perl -e
『$foo=pack(「C11」,47,101,116,99,47,112,97,115,115,119,100);
@bam=`/bin/cat/ $foo`; print」@bamn」;』
從這個命令中,入侵檢測系統根本就不會重組出/etc/passwd這些字元.顯然,防禦這種攻擊就很困難了,
這要求入侵檢測系統必須能夠理解這種解釋器如何收到的命令,這恐怕不太現實.當然,入侵檢測系統也可以對使用解釋器的可疑行為進行報警,但是它很難對攻擊行為進行精確的監視.
通過把字元串處理技術和字元替換技術結合到一起,我們可疑實現更複雜的字元串偽裝.對於WEB請求,我們不必使用命令解釋器,在我們的請求中使用16進位的URL即可,以下的請求可以被目標WEB伺服器解釋為/etc/passwd:
GET etc/passwd
或者
GET etc/passwd
為了捕獲這一個字元串的所有變體,你可能需要1000個以上的特徵碼進行字元串匹配,這還沒有考慮UNICODE.UNICODE提供了另一種字元表達方式.有關UNICODE的IDS欺騙技術細節,本文將不多做討論.如果想了解更多細節請參考SecurityFocus的IDS Evasion with Unicode.除此之外,RainForestPuppy在他的HTTP掃描工具Whisker中採用了另外一些IDS欺騙技術:
-I 1 IDS-evasive mode 1 (URL編碼)
-I 2 IDS-evasive mode 2 (/./目錄插入)
-I 3 IDS-evasive mode 3 (過早結束URL)
-I 4 IDS-evasive mode 4 (長URL)
-I 5 IDS-evasive mode 5 (偽造參數)
-I 6 IDS-evasive mode 6 (TAB分割) (not NT/IIS)
-I 7 IDS-evasive mode 7 (大小寫敏感)
-I 8 IDS-evasive mode 8 (Windows分割符)
-I 9 IDS-evasive mode 9 (會話拼接) (slow)
-I 0 IDS-evasive mode 0 (NULL方法)
如果想了解上面這些方法的技術細節,可以參考A Look At Whisker's Anti-IDS Tactics.需要特別說明的是,rfp把whisker採用的anti-ids技術單獨放到了libwhisker(使用perl編寫的)庫中,為其它的程序採用這些技術提供了很大的便利.另外,nessus和babelweb等掃描工具都有自己的應用層入侵檢測躲避技術.
現在,IDS開發人員對各種網路協議有了更深入的理解,並且入侵檢測設備在對數據包的負載進行字元串匹配之前會進行必要的協議分析,因此現在的IDS已經能夠很好地處理上述的欺騙技術了.但是多餘的字元轉換又提高了入侵檢測系統的負載,有時是得不償失.為了減小這個跗面影響,開發人員可以使入侵檢測系統只在特定的埠進行字元轉換.
2.多變shell代碼(polymorphic shell code)
多變shell代碼(polymorphic shell code)技術由K2開發的,設計思想來源於病毒逃避(virus evasion)技術.使用這種技術重新構造的shell代碼更為危險,入侵檢測設備非常難以檢測到.這種技術只用於緩衝區溢出攻擊,對付基於特徵碼的檢測系統非常有效,而對於智能化的或者基於協議分析的檢測系統的效果要差很多.為了便於討論,我們以SSH CRC32緩衝區為例.我們先看以下snort檢測規則:
alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32
overflow /bin/sh"; flags:A ; content:"/bin/sh"; reference:bugtraq,2347;
reference:cve,CVE-2001-0144; classtype:shellcode-detect; sid:1324; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32
overflow NOOP"; flags:A ; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90 90)
上面的第一條規則簡單地檢查從外部到$HOME_NET,目標埠是22的數據包,搜索裡面是否包含字元串/bin/sh.第二條規則是檢查是否包含x86空操作字元(0x90).多變shell代碼(polymorphic shell code)使用很多方法逃避字元串匹配系統的檢測.
(以x86架構為例),使用其它的字元代替0x90執行無操作(no-op)指令.對於X86架構,有55種替代方式,其它的要少一些.這些替代方式以一種偽隨機的方式結合到一塊,建立緩衝區溢出shell代碼包含無操作(no-op)指令的部分.想了解無操作(no-op)指令的所有替代字元可以參考http://cansecwest.com/noplist-v1-1.txt.除此之外,shell代碼本身也採用XOR機制編碼.通過這種方式建立的緩衝區溢出shell代碼被重組后不會包含以上的特徵碼,從而能夠逃過字元串匹配檢測.
多變shell代碼檢測對基於特徵碼檢測的IDS是一個很大的挑戰.Next Generation Security Technologie公司的技術白皮書Polymorphic Shellcodes vs. Application IDSs中提出了一些檢測多變shell代碼的設想.通過搜索無操作(no-op)字元的一個特定長度的正則表達式,可以實現對多變shell代碼的精確檢測.最近,Dragos Ruiu發布了一個用於檢測多變shell代碼的snort預處理插件spp_fnord,這個插件採用了和上面相似的檢測技術.這個預處理插件有埠和長度兩個配置選項.例如,如果某個人在配置時設置了80、21、23和53等埠,它就只對這幾個埠的數據流量進行多變shell代碼的檢測,而不會對其它埠(例如:22)進行檢測.
3.會話拼接(session splicing,叫會話分割更合適一些)
上面討論的這些方法都是屬於攻擊數據在一個數據包中的情況,沒有涉及攻擊數據和會話通過多個數據包投遞的情況.RFP在Whisker中實現了一種IDS逃避技術叫作會話拼接(session splicing),就是把會話數據放到多個數據包中發出,例如:
-------------------------
| packet number | content |
|--------------- ---------|
| 1 | G |
|--------------- ---------|
| 2 | E |
|--------------- ---------|
| 3 | T |
|--------------- ---------|
| 4 | 20 |
|--------------- ---------|
| 5 | / |
|--------------- ---------|
| 6 | H |
--------------- ---------
通過這種方式,每次只投遞幾個位元組的數據,就可能避開字元串匹配入侵檢測系統的監視.要監視這種攻擊,需要入侵檢測系統或者能夠理解、監視網路會話(即使IDS有這種能力,攻擊者也可以通過其它的凡是避開監視),或者採用其它的技術監視這種攻擊.snort使用以下規則來監視會話拼接:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC whisker
space splice attack"; content:"|20|"; flags:A ; dsize:1;
reference:arachnids,296; classtype:attempted-recon; reference)
這條規則使snort檢測目標為$HTTP_SERVERS 80埠的ACK報文的負載長度是否等於1以及是否包含空格(16進位的20).使用這條規則可以精確地檢測出whisker,但是攻擊者只要稍加修改就可以避開這個檢測.為了能夠檢測可能出現的會話拼接攻擊,可以對上面這條snort規則進行擴展,使其檢查負載很短的HTTP請求.但是,這樣做的副作用是提高了誤報警數量,
在某些情況下攻擊者還是能夠避開監視.為了真正有效地檢測這種攻擊,需要入侵檢測系統能夠完整地理解網路會話,不過這是非常困難的.應該注意的是目前大多數系統能夠重組會話,在所有的會話數據到達之前,它們會等待一些時間.而等待時間的長短與程序有關.例如,Apache/RedHat的會話超時時間是6分鐘,IIS/Win2K等待的時間非常長.因此,攻擊者完全可以每15分鐘發送一個位元組的會話數據,而IIS還會認為是有效的會話.最新版本的snort能夠監視長期的會話和網路層欺騙,例如:小TTL值.
4.碎片攻擊
碎片攻擊和會話拼接(session splicing)有點類似.直到最近,很多入侵檢測系統在進行字元串匹配之前不能準確地重組碎片.現在這種情況有了改觀,所有的入侵檢測系統都能夠進行某些重組.不過,還是有很多方法可以避開入侵檢測系統的監視.碎片重組的問題是在進行字元串匹配以前,入侵檢測系統必須在內存中緩存所有的碎片,然後進行重組.
,他還需要直到、碎片在目的主機會如何重組.Thomas Ptacek and Timoth Newsham於1998年寫的Insertion,Evasion and Denial of Service: Eluding Network Intrusion Detection描述了許多基於網路的碎片躲避和其它類型的躲避技術.碎片攻擊包括:碎片覆蓋、碎片重寫、碎片超時和針對網路拓撲的碎片技術(例如使用小的TTL)等.下面,我們將詳細討論.
4.1.碎片覆蓋
所謂碎片覆蓋就是發送碎片覆蓋先前碎片中的數據.例如:
碎片1 GET x.idd
碎片2 a.?(緩衝區溢出數據)
第二個碎片的第一個字元覆蓋第一個碎片
一個字元,這兩個碎片被重組之後就變成了GET x.ida?(緩衝區溢出數據).實際情況遠非這麼簡單,更詳細的細節請參考爛文IDS欺騙之Fragroute篇(上).
4.2.碎片數據覆蓋
這種方法和上面的碎片覆蓋有些類似,只不過是覆蓋全部的碎片數據,例如:
碎片1 GET x.id
碎片2 一些隨機的字元
碎片3 a.?(緩衝區溢出數據)
這些碎片在經過目標系統的重組之後,碎片3將完全覆蓋碎片2,重組之後的數據變成GET x.ida?(緩衝區溢出數據).如果入侵檢測系統的重組方式和目標系統不同,就無法重組出「GET x.ida?(緩衝區溢出數據)」,因此就檢測不出這個攻擊.
4.3.碎片超時
這種攻擊依賴於入侵檢測系統在丟棄碎片之前會保存多少時間.大多數系統會在60秒之後將丟棄不完整的碎片流(從收到第一個碎片開始計時).如果入侵檢測系統保存碎片的時間小於60秒,就會漏掉某些攻擊.例如:
碎片1(設置了MF位) GET foo.id
碎片2(59秒之後發出) a?(緩衝區溢出數據)
如果IDS保存起始碎片的時間不到60秒,就會漏過攻擊.幸運的是,如果配置沒有錯誤,現在的網路入侵檢測系統能夠檢測此類攻擊.
這種技術結合其它的網路技術(例如:TTL值)將更有威脅.如果入侵檢測系統和被監視的系統不在同一個網段,攻擊者就可以在TTL上做手腳.有的單位由於經費的限制,不能在自己的每個子網都部署IDS節點,只在網路的出入口部署一套IDS,監視所有的網路流量.這種情況下,如果被攻擊的主機在其它的子網,攻擊數據包到目標系統的跳數就大於到IDS的跳數.攻擊者可以偽造碎片的TTL,使某些碎片剛好能夠到達,而無法到達目標系統,例如:
碎片序號 負載 TTL(假設攻擊者到目標的跳數是5,到IDS的跳數是3)
1 GET foo.id 5
2 evasion.html 3
3 a?(緩衝區溢出數據) 5
從這些碎片中,IDS重組的數據是「GET foo.idevasion.html a?(緩衝區溢出數據)」或者「GET foo.idevasion.html」(如果IDS的超時時間小於60秒).通過這種方式,攻擊者成功地在IDS中插入了垃圾數據.
5.碎片和snort特徵碼
下面我們把上述攻擊和某些snort特徵碼進行比較.對於.ida緩衝區溢出攻擊,默認的snort特徵碼幾乎無法捕獲任何通過碎片發動的攻擊(如果使用了frag2預處理模塊,snort可以截獲碎片超時攻擊).下面是針對.ida緩衝區溢出攻擊的snort檢測規則:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS ISAPI
.ida attempt"; uricontent:".ida?"; nocase; dsize:>239; flags:A ;
reference:arachnids,552; classtype:web-application-attack;
reference:cve,CAN-2000-0071; sid:1243; rev:2;)
另外,snort還有一條檢測小碎片的規則,一旦發現太小的碎片,就會觸發這條規則:
alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC Tiny
Fragments"; fragbits:M; dsize: < 25; classtype:bad-unknown; sid:522)
但是,這樣還是不能檢測某些攻擊.還是以ida緩衝區溢出為例,這個攻擊實際上和請求的URI無關,因此攻擊者可以在前面加入一些垃圾數據以避免觸發碎片檢測規則.
碎片1 GET reallylongstringtoevadedetect.i
碎片2 da?(緩衝區溢出數據)
這些技術並非只針對snort.Cisco Secure IDS也能夠進行碎片重組,並且能夠對上述碎片攻擊進行報警.
實際上,碎片攻擊要複雜的多,尤其是涉及到TTL和碎片覆蓋.如果想更為深入地了解這方面技術,請參考Network Intrusion Detection: Evasion, Traffic Normalization, and End-to-End Protocol Semantics.
檢測碎片攻擊也非常困難.使IDS的碎片超時時間至少為60秒,增加對異常碎片的報警,最重要的是系統管理人員要對碎片攻擊的潛在威脅有清醒的認識.2002年四月,Dug Song發布了Fragroute,引發了不小的震動.很快,snort社團發布了能夠對碎片攻擊進行更好檢測的snort1.8.6版.
6.拒絕服務
還有一種比較野蠻的方法就是拒絕服務.拒絕服務可以針對檢測設備本身和管理設備.Stick、snot和其它一些測試工具能夠是入侵檢測設備產生大量的報警.使用這些工具,可以達成如下目標:
消耗檢測設備的處理能力,是真正的攻擊逃過檢測.
塞滿硬碟空間,使檢測設備無法記錄日誌.
使檢測設備產生超出其處理能力的報警.
使系統管理人員無法研究所有的報警.
掛掉檢測設備.
對IDS來說,這類工具無跡可尋,因此非常難以對付.
結論
本文我們討論了一些常用的IDS躲避技術及其對策.其中有些技術需要攻擊者具有熟練的攻擊技巧,而有寫技術卻無需太多的技巧.而fragroute之類的工具出現,大大降低了攻擊者採用某些技術的難度,使防禦的一方總是處於被動.'
