درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
دوره های مرتبط
دوره های توسینسو
دوره آموزشی نصب و راه اندازی Zabbix در FreeBSD و PfSense
مدرس: mabedini
این دوره را در 2 قسط خریداری کنید
دوره آموزشی فایروال حرفه ای PF
مدرس: mabedini
این دوره را در 6 قسط خریداری کنید
دوره آموزشی برنامه های تکمیلی در PfSense
مدرس: mabedini
این دوره را در 11 قسط خریداری کنید
گام به گام فایروال قدرتمند Fortigate بصورت صد در صد عملی
مدرس: jeffar
این دوره را در 20 قسط خریداری کنید
دوره آموزشی فایروال فوق تخصصی PfSense در سیستم عامل FreeBSD
مدرس: mabedini
این دوره را در 16 قسط خریداری کنید
دوره آموزشی تخصصی و بین المللی فایروال جونیپر یا JNCIA-IJOS
مدرس: morteza1131
این دوره را در 12 قسط خریداری کنید
دوره آموزشی فوق تخصصی و جامع فایروال لینوکسی IpFire
مدرس: mabedini
این دوره را در 12 قسط خریداری کنید
دوره آموزشی گام به گام و تخصصی فایروال IPtables لینوکس
مدرس: m.asmaei
این دوره را در 6 قسط خریداری کنید
دوره آموزشی مقدماتی تنظیمات فایروال Cisco ASA
مدرس: jeffar
این دوره را در 7 قسط خریداری کنید
دوره آموزشی جدید فایروال قدرتمند PfSense
مدرس: mabedini
این دوره را در 16 قسط خریداری کنید
دوره آموزشی تخصصی فایروال OPNsense مبتنی بر BSD
مدرس: mabedini
این دوره را در 13 قسط خریداری کنید
دوره آموزشی گام به گام و جامع فایروال Kerio Control
مدرس: ARTA.
این دوره را در 10 قسط خریداری کنید
دوره آموزشی جامع فایروال IPFW در FreeBSD
مدرس: mabedini
این دوره را در 8 قسط خریداری کنید
دوره آموزشی جونوس فایروال جونیپر ( JRE )
مدرس: morteza1131
این دوره را در 5 قسط خریداری کنید

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت ششم- دور زدن IPS و مقابله با ان

0 نظرات
64 بازدیدها

Image

روش های دور زدن IPS و مقابله با آن
در اینجا روش هایی که هکرها برای دور زدن IPS استفاده می کنند و روش های مقابله با ان گفته می شود.
روش های دور زدن IPS :
  • Encrption And Tunneling
در این حالت ترافیک رمزنگاری شده است یا از طریق تونل عبور داده می شود
  • Timing Attacks
در این روش هکر حملات خود را در زمان های بزرگ تر انجام می دهد تا IPS نتواند متوجه او شود به طور مثال استفاده از NMap جهت اسکن پورت ها در زمان های مختلف
  • Resource Exhausion
در این روش هکر IPS یا Admin را درگیر می کند.
در این روش هکر ترافیک زیادی به IPS ارسال می کند که IPS نتواند تمامی ترافیک را بررسی کند و هکر در اینجا ترافیک آلوده خود را ما بین این ترافیک ارسال می کند.
یا هکر شروع به ارسال ترافیک های کوچک مخرب (Noise Traffic) به IPS می کند که باعث تولید Alertهای فراوان و کم اهمیت شود و Admin را درگیر بررسی این Alertها می کند و هکر در این بین کار خود را می کند و با توجه به زیاد بودن این Alertها admin نمی تواند تمام این Alertها را بررسی کند و در نتیجه Alertهای مهم نادیده می شود.
  • Traffic Fragmentation :
در این روش هکر کد مخرب خود را روی بسته های یک Session توزیع می کند که IPS متوجه ان نشود.
  • Protocol-level Misinterpretation :
گول زدن IPS در سطح پروتکل می باشد که به دو نمونه از ان اشاره می کنیم:
TCP Checksum Attacks : در این حالت هکر یک بسته TCP سالم را با Checksum خراب ارسال می کند IPS بسته را مورد بازرسی قرار می دهد و می بیند بسته سالم است اما Checksum ان خراب است در نتیجه انرا Drop می کند حالا هکر دوباره یک بسته با دیتای مخرب و مشخصات Header بسته قبلی و Checksum سالم ارسال می کند. IPS انرا دریافت می کند و فکر می کند همان همان بسته قبلی است که Checksum ان تصحیح شده است در نتیجه بدون بررسی دیتای بسته انرا ار خود عبور می دهد.
TCP TTL Attacks : در اینجا هکر یک بسته با دیتای سالم با TTL پایین ارسال می کند IPS انرا دریافت و بررسی می کند و از خود عبورمی دهد اما چون TTL ان پایین است به مقصد نمی رسد. حالا هکر مجدد یک بسته با مشخصات بسته قبل با دیتای مخرب و TTL درست ارسال می کند و IPS فکر می کند که همان بسته قبلی (Duplicate) است و در نتیجه ان را از خود عبور می دهد.
  • Traffic Substitution And Insertion :
در این روش ماهیت ترافیک را تغییر می دهیم.
به این صورت که برداشت IPS از ترافیک با برداشت مقصد از ترافیک متفاوت باشد.
به طور مثال از کد اسکی به جای Unicode استفاده شود.
یا استفاده از کلید Tab به جای Space
کد مخرب را با یک زبان برنامه نویسی دیگر بنویسیم و ارسال کنیم.

روش های مقابله با این دور زدن ها :

  • Encrption And Tunneling
IPS فقط می تواند Gre Tunneling را مورد بازرسی قرار دهد.
در باقی موارد تنها راه استفاده از HIPS روی Host مورد نظر می باشد.
  • Timing Attacks
استفاده از ابزارهایی مانند MARS
  • Resource Exhausion
استفاده از خلاصه کردن Alertها
برای جلوگیری از این روش IPS می تواند Alertهای تولید شده را خلاصه کند به طور مثال اعلام کند از این Alert تعداد 1000 عدد تولید شده است.
  • Traffic Fragmentation :
این روش در IPSهای سیسکو قابل شناسایی است چون IPS کل بسته های مربوط به یک Session را در حافظه خود Reassembly می کند.
  • Protocol-level Misinterpretation :
با چک کردن اعتبار این بسته ها
  • Traffic Substitution And Insertion :
باید بسته ها با روش های مختلف و حالت های متفاوت مورد بررسی و ارزیابی قرار گیرد.


نویسنده :جعفر قنبری شوهانی
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
ردیف عنوان قیمت
1 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها رایگان
2 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت دوم - آماده سازی سنسورها رایگان
3 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت سوم - آماده سازی پیشرفته سنسور رایگان
4 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت چهارم - دستورات ابتدایی رایگان
5 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت پنجم- متدهای بررسی ترافیک رایگان
6 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت ششم- دور زدن IPS و مقابله با ان رایگان
7 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت هفتم رایگان
8 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت هشتم رایگان
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید

    arrow