جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

معرفی 6 تکنیک دور زدن IPS/IDS و روشهای مقابله با آنها

چگونه می توان سیستم تشخیص نفوذ و سیستم جلوگیری از نفوذ را دور زد ؟ روشها دور زدن IPS و IDS چه هستند و چگونه جلوی آنها را بگیریم؟ مهاجم می خواهد دیده نشوند و همینطور کسی نتواند او را متوقف کند. بنابراین اگر شما در شبکه IPS/IDS داشته باشید مهاجم سعی می کند از دید IPS/IDS مخفی بماند. روش هایی که ممکن است مهاجم برای فرار و دور زدن IPS/IDS استفاده کند و همچنین راه های مقابله با این روش ها به شرح زیر است:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. Traffic fragmentation : در این روش مهاجم ترافیک مخرب خود را روی بسته های یک session توزیع می کند که IPS متوجه آن نشود. برای مقابله کل session توسط سنسور reassembly می شود در نتیجه کل ترافیک مخرب توسط IPS/IDS دیده می شود.
  2. Traffic substitution and insertion : مهاجم کاراکترهای موجود در دیتا را با یک فرمت متفاوت جایگزین می کند که در مقصد همان معنی را داشته باشند در این روش ماهیت ترافیک تغییر داده می شود. به طور مثال استفاده از رشته های Unicode که در مقصد نهایی قادر به تفسیر آن است. با این تکنیک اقدام به دور زدن سنسور می کنند. برای مقابله از تکنیک نرمال سازی و رفع هنجار استفاده می شود. سنسور ترافیک را به لحاظ داشتن Unicode ، جایگزینی فاصله با tab ، حساسیت به حروف و سایر موارد بررسی می کند.
  3. Protocol level misinterpretation : مهاجم ممکن است تلاش کند که سنسور را گول بزنید به طور مثال مهاجم یک بسته سالم با TTL پایین ارسال کند که IPS بسته را دریافت و آن را بررسی می کند بسته سالم است اما به خاطر TTL پایین بسته را drop می کند سپس مهاجم یک بسته با مشخصات بسته قبل با TTL درست و اینار با دیتای مخرب ارسال می کند و سنسور فکر می کند که بسته همان بسته قبلی است که TTL آن اصلاح شده (بسته duplicate) است درنتیجه بدون بررسی مجدد به آن اجازه ورود می دهد یا همین عمل را با استفاده TCP Checksum انجام می دهد. برای مقابله از آنالیز و اعتبارسنجی (IP Time-To-Live (TTL و TCP checksum استفاده می شود.
  4. (Timing attacks (for example,“low and slow”attacks : ارسال بسته به مقداری کمتر از مقدار مشخص شده در یک signature. به طور مثال در صورت مشاهده 1000 بسته خاص در ثانیه یک signature مطابقت پیدا می کند و مهاجم اقدام به ارسال 900 بسته می کند و این کار را در بازه های زمانی طولانی انجام می دهد. می توان با مشخص کردن فواصل زمانی و استفاده از ابزار های جانبی برای جمع آوری این اطلاعات با این روش مقابله کرد.
  5. Encryption and tunneling : به وسیله رمزنگاری و تانل ترافیک خود را به قربانی ارسال می کند. در صورت رمزنگاری دیتا سنسور نمی تواند محتوای اطلاعات را مورد بازرسی قرار دهد و تنها تاتل GRE را می تواند بازرسی کند.
  6. Resource exhaustion : مهاجم با یک حمله ساده جهت ایجاد حواسپرتی باعث تولید هزاران alert می شود و به این شکل این امکان را برای خود فراهم می کند که حمله اصلی خود را انجام دهد و کسی متوجه آن نشود. این درگیری باعث تحلیل سنسور یا تیم مدیریتی می شود که با حجم انبوهی از alert ها مواجه می شوند و alert های مهم در بین آنها گم می شود.روش مقابله استفاده از خلاصه سازی اتفاقات می باشد. در این روش در بازه زمانی مشخص سنسور یک alert تولید می کند و در آن عنوان می کند که مثلا 2000 بار از این حمله رخ داده است و به این شکل تعداد بسیار زیاد alert ها در قالب چند alert نمایش داده می شوند.
وب سایت توسینسو

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات