درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت ششم- دور زدن IPS و مقابله با ان

0 نظرات

Image


روش های دور زدن IPS و مقابله با آن


در اینجا روش هایی که هکرها برای دور زدن IPS استفاده می کنند و روش های مقابله با ان گفته می شود.


روش های دور زدن IPS :


  • Encrption And Tunneling

در این حالت ترافیک رمزنگاری شده است یا از طریق تونل عبور داده می شود


  • Timing Attacks

در این روش هکر حملات خود را در زمان های بزرگ تر انجام می دهد تا IPS نتواند متوجه او شود به طور مثال استفاده از NMap جهت اسکن پورت ها در زمان های مختلف


  • Resource Exhausion

در این روش هکر IPS یا Admin را درگیر می کند.


در این روش هکر ترافیک زیادی به IPS ارسال می کند که IPS نتواند تمامی ترافیک را بررسی کند و هکر در اینجا ترافیک آلوده خود را ما بین این ترافیک ارسال می کند.


یا هکر شروع به ارسال ترافیک های کوچک مخرب (Noise Traffic) به IPS می کند که باعث تولید Alertهای فراوان و کم اهمیت شود و Admin را درگیر بررسی این Alertها می کند و هکر در این بین کار خود را می کند و با توجه به زیاد بودن این Alertها admin نمی تواند تمام این Alertها را بررسی کند و در نتیجه Alertهای مهم نادیده می شود.


  • Traffic Fragmentation :

در این روش هکر کد مخرب خود را روی بسته های یک Session توزیع می کند که IPS متوجه ان نشود.


  • Protocol-level Misinterpretation :

گول زدن IPS در سطح پروتکل می باشد که به دو نمونه از ان اشاره می کنیم:


TCP Checksum Attacks : در این حالت هکر یک بسته TCP سالم را با Checksum خراب ارسال می کند IPS بسته را مورد بازرسی قرار می دهد و می بیند بسته سالم است اما Checksum ان خراب است در نتیجه انرا Drop می کند حالا هکر دوباره یک بسته با دیتای مخرب و مشخصات Header بسته قبلی و Checksum سالم ارسال می کند. IPS انرا دریافت می کند و فکر می کند همان همان بسته قبلی است که Checksum ان تصحیح شده است در نتیجه بدون بررسی دیتای بسته انرا ار خود عبور می دهد.


TCP TTL Attacks : در اینجا هکر یک بسته با دیتای سالم با TTL پایین ارسال می کند IPS انرا دریافت و بررسی می کند و از خود عبورمی دهد اما چون TTL ان پایین است به مقصد نمی رسد. حالا هکر مجدد یک بسته با مشخصات بسته قبل با دیتای مخرب و TTL درست ارسال می کند و IPS فکر می کند که همان بسته قبلی (Duplicate) است و در نتیجه ان را از خود عبور می دهد.


  • Traffic Substitution And Insertion :

در این روش ماهیت ترافیک را تغییر می دهیم.


به این صورت که برداشت IPS از ترافیک با برداشت مقصد از ترافیک متفاوت باشد.


به طور مثال از کد اسکی به جای Unicode استفاده شود.


یا استفاده از کلید Tab به جای Space


کد مخرب را با یک زبان برنامه نویسی دیگر بنویسیم و ارسال کنیم.



روش های مقابله با این دور زدن ها :



  • Encrption And Tunneling

IPS فقط می تواند Gre Tunneling را مورد بازرسی قرار دهد.


در باقی موارد تنها راه استفاده از HIPS روی Host مورد نظر می باشد.


  • Timing Attacks

استفاده از ابزارهایی مانند MARS


  • Resource Exhausion

استفاده از خلاصه کردن Alertها


برای جلوگیری از این روش IPS می تواند Alertهای تولید شده را خلاصه کند به طور مثال اعلام کند از این Alert تعداد 1000 عدد تولید شده است.


  • Traffic Fragmentation :

این روش در IPSهای سیسکو قابل شناسایی است چون IPS کل بسته های مربوط به یک Session را در حافظه خود Reassembly می کند.


  • Protocol-level Misinterpretation :

با چک کردن اعتبار این بسته ها


  • Traffic Substitution And Insertion :

باید بسته ها با روش های مختلف و حالت های متفاوت مورد بررسی و ارزیابی قرار گیرد.




نویسنده : جعفر قنبری شوهانی


منبع : انجمن تخصصی فناوری اطلاعات ایران


هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


آیا این مطلب را پسندیدید؟
ردیف عنوان قیمت
1 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها رایگان
2 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت دوم - آماده سازی سنسورها رایگان
3 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت سوم - آماده سازی پیشرفته سنسور رایگان
4 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت چهارم - دستورات ابتدایی رایگان
5 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت پنجم- متدهای بررسی ترافیک رایگان
6 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت ششم- دور زدن IPS و مقابله با ان رایگان
7 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت هفتم رایگان
8 سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت هشتم رایگان
9 IPS و IDS چیست؟ رایگان
10 تفاوت و ویژگی های IPS و IDS رایگان
11 پلتفرم های مختلف IPS شرکت سیسکو رایگان
12 واژه های False positive/negative و True positive/negative در IPS و IDS رایگان
13 روش های شناسایی ترافیک مخرب در شبکه توسط IPS/IDS رایگان
14 action های قابل استفاده در IPS/IDS در زمان شناسایی ترافیک مخرب رایگان
15 محاسبه Risk Rating برای انتخاب action در IPS/IDS رایگان
16 تکنیک های دور زدن IPS/IDS و روش های مقابله با آن رایگان
هیچ نظری ارسال نشده است

برای ارسال نظر ابتدا به سایت وارد شوید

arrow