碎片1 GET reallylongstringtoevadedetect.i

碎片2 da?(缓冲区溢出数据)

这些技术并非只针对snort。Cisco Secure IDS也能够进行碎片重组，并且能够对上述碎片攻击进行报警。

实际上，碎片攻击要复杂的多，尤其是涉及到TTL和碎片覆盖。

检测碎片攻击也非常困难。使IDS的碎片超时时间至少为60秒，增加对异常碎片的报警，最重要的是系统管理人员要对碎片攻击的潜在威胁有清醒的认识。2002年四月，Dug Song发布了Fragroute，引发了不小的震动。很快，snort社团发布了能够对碎片攻击进行更好检测的snort1.8.6版。

6.拒绝服务

还有一种比较野蛮的方法就是拒绝服务。拒绝服务可以针对检测设备本身和管理设备。Stick、snot和其它一些测试工具能够是入侵检测设备产生大量的报警。使用这些工具，可以达成如下目标：

消耗检测设备的处理能力，是真正的攻击逃过检测。

塞满硬盘空间，使检测设备无法记录日志。

使检测设备产生超出其处理能力的报警。

使系统管理人员无法研究所有的报警。

挂掉检测设备。

对IDS来说，这类工具无迹可寻，因此非常难以对付。

结论

本文我们讨论了一些常用的IDS躲避技术及其对策。其中有些技术需要攻击者具有熟练的攻击技巧，而有写技术却无需太多的技巧。而fragroute之类的工具出现，大大降低了攻击者采用某些技术的难度，使防御的一方总是处于被动。希望这些东西对大家有点用。

上一页  [1] [2]