本文针对入侵检测系统的漏洞来了解一下黑客的入侵手法。一旦安装了网络入侵检测系统,网络入侵检测系统就会为你分析出网上出现的黑客攻击事件,而且你能用此入侵检测系统的反击功能,即时将这种联机猎杀或阻断。你也可以配合防火墙的设置,由入侵检测系统自动为你动态修改防火墙的存取规则,拒绝来自这个ip 的后续联机动作!”这种美好的“前景”,可能是许多入侵检测系统提供商的惯用销售手法,一般的企业或组织在建立自己的入侵检测系统时也会有这种预期目的。诚然,入侵检测系统可以具有很好的监视及检测入侵的能力,也可以对企业或组织的安全提供很好的协助。但是,正如小偷的手法会随着锁的设计而不断“更新”一样,随着入侵检测系统的出现,许多针对网络入侵检测系统的规避手法也随之不断“升级”。如今,黑客对于入侵检测系统已经有了一套较完整的入侵手法。下面我们将针对入侵检测系统的漏洞来了解一下黑客的入侵手法。
一、识别方式的设计漏洞
1.对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串,是大部分网络入侵检测系统都会采取的一种方式。例如,在早期apache web服务器版本上的phf cgi程序,就是过去常被黑客用来读取服务器系统上的密码文件(/etc/password),或让服务器为其执行任意指令的工具之一。当黑客利用这种工具时,在其url request请求中多数就会出现类似“get /cgi-bin/phf?.....”的字符串。因此许多入侵检测系统就会直接对比所有的url request 中是否出现/cgi-bin/phf 的字符串,以此判断是否出现phf 的攻击行为。
2.这样的检查方式,虽然适用于各种不同的入侵检测系统,但那些不同的入侵检测系统,因设计思想不同,采用的对比方式也会有所不同。有的入侵检测系统仅能进行单纯的字符串对比,有的则能进行详细的tcp session重建及检查工作。这两种设计方式,一个考虑了效能,一个则考虑了识别能力。攻击者在进行攻击时,为避免被入侵检测系统发现其行为,可能会采取一些规避手法,以隐藏其意图。例如:攻击者会将url中的字符编码成%xx 的警惕6进值,此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”,单纯的字符串对比就会忽略掉这串编码值内部代表的意义。攻击者也可以通过目录结构的特性,隐藏其真正的意图,例如:在目录结构中,“./”代表本目录,“../”代表上层目录,web服务器 可能会将“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”这些url request均解析成“/cgi-bin/phf”,但单纯的入侵检测系统可能只会判断这些request是否包含“/cgi-bin/phf”的字符串,而没有发现其背后所代表的意义。
3.将整个request在同一个tcp session中切割成多个仅内含几个字符的小packet,网络入侵检测若没将整个tcp session重建,则入侵检测系统将仅能看到类似“get”、“/cg”、“i”、“-bin”、“/phf”的个别packet,而不能发现重组回来的结果,因为它仅单纯地检查个别packet是否出现类似攻击的字符串。类似的规避方式还有ip fragmentation overlap、tcp overlap 等各种较复杂的欺瞒手法。
二、“猎杀”及重调安全政策的漏洞
所谓“猎杀”,就是在服务器中设定一个陷阱,如有意打开一个端口,用检测系统对其进行24小时的严密盯防,当黑客尝试通过该端口入侵时,检测系统就会及时地将其封锁。网络入侵检测系统的“猎杀”及重新调整防火墙安全政策设置功能,虽然能即时阻断攻击动作,但这种阻断动作仅能适用tcp session,要完全限制,就必须依赖重新调整防火墙安全政策设置的功能,同时也可能造成另一种反效果:即时阻断的动作会让攻击者发现ids的存在,攻击者通常会寻找规避方式,或转向对ids进行攻击。重新设置防火墙的安全政策,若设置不当,也可能造成被攻击者用来做阻断服务(denial of service)攻击的工具:经过适当的设计,若网络入侵检测的检查不足,攻击者可以伪装成其他的正常ip来源进行攻击动作,入侵检测系统若贸然限制这些来源的ip,将会导致那些合法用户因攻击者的攻击而无法使用。论是识别方式的设计,还是所谓的“猎杀”及重新设置防火墙安全政策的设置功能,都有其利弊。能够实地了解入侵检测系统的识别方式,或进行其识别手法的调整,将有助于提高入侵检测系统运作的正确性。对“猎杀”及重新调整防火墙安全政策设置功能工具的使用,则应仔细评估其效益与相应的损失,这样才能有效地发挥网络入侵检测系统的功能。
扫描二维码与小二CMS创始人沟通:
小二CMS专注于高端网站定制、系统开发、商城开发、外贸网站建设、公众号开发、小程序开发、网站优化推广、安全运维等技术领域。是高端定制网站领域著名服务商!
搜索引擎算法不断迭代,传统SEO套路逐渐失效。本文剖析2025年合肥企业在选择SEO优化公司时的生存法则,结合小二CMS的智能建站与SEO一体化优势,为企业提供从技术实力、策略前瞻性到落地效果的优选指南,助力长效获取精准流量。
很多企业网站建成即闲置,流量低迷、转化乏力。本文针对2025年合肥企业,提供从技术合规到全域增长的实战指南,解析小二CMS在合规建设、SEO优化、多端同步与营销裂变中的应用,帮助企业激活站点价值,实现可持续流量与业务增长。
数据割裂让企业运营陷入死局?2025年合肥企业如何打通小程序与网站数据,实现一体化运营?本文提供从技术架构到业务价值的完整实战指南,并解析小二CMS在数据同步与全渠道营销中的核心优势,帮助企业打破孤岛、释放数据潜能,实现增长裂变。
“招商加盟·本地推”网络营销客户沙龙在全国多地持续升温,吸引众多品牌方与创业者参与。现场深度解析本地化推广策略,并展示超讯兴小程序在加盟招商中的高效引流与转化能力,助力企业打通线上线下流量闭环,抢占区域市场先机。
很多网站因设计陈旧、交互生硬而显得“不高级”,难以吸引用户停留。本文深度解析网站缺乏质感的核心原因,并引入「小二CMS」智能建站系统,展示其如何通过模块化设计、响应式布局与可视化编辑,快速打造兼具美学与功能的高级网站,助力品牌脱颖而出。
小程序定制开发是一项多阶段、多技术栈的系统工程,往往需要不同专业角色的紧密协作才能完成高质量的交付。以下是开发过程中常见的核心岗位及其主要职责
微信小程序经历过五年多的发展,开发技术已经很成熟了,越来越多商家想通过小程序转型线上经营来获取更多用户,转化更多的用户。
需预留5-10天进行兼容性、支付接口、功能逻辑的反复测试,避免上线后出现退款异常等问题。总结给出缩短周期的三步法:写清需求文档、分阶段开发先做核心功能、上线后快速收集反馈并预留优化时间,帮助商家与开发团队更精准地规划项目进度。
