1

IDS 製品をテストするには、IDS 回避攻撃が必要です。Thomas.H.Ptacek と Tim Newsham による「Insertion, Evasion and Denial Of Service: Eluding NIDS」という古い論文しか見つかりません。それはちょっと古すぎるし、それらの年の間にいくつかの新しい方法があるに違いない.また、fragrouteのような他のツールがあるかもしれない.私はそれらを見つける必要がある.

では、どこにあるのか手がかりを教えてください。ありがとう。

そして、これが私が言及した論文からの回避攻撃です: エンドシステムは、IDS が拒否したパケットを受け入れることができます。そのようなパケットを誤って拒否する IDS は、その内容を完全に見逃してしまいます。この条件は、IDS の処理が厳しすぎるパケット内の重要な情報を IDS を通過させることによって、悪用される可能性もあります。これらのパケットはevading'' the scrutiny of the IDS. We call these回避攻撃です。

4

2 に答える 2

0

Ptacek による論文は、この問題領域で最もよく引用されるソースの 1 つです。この問題の一般化は、トラフィックの正規化に関するものです。Handley と Paxsonはこのトピックについて詳しく説明し、回避の機会につながる可能性のある潜在的なトラフィックのあいまいさを取り除くために、ネットワーク エッジに位置するインライン アプリケーションを開発しました。

そのため、このようなトラフィック ノーマライザーを展開すると、トラフィックのあいまいさによる回避に関して IDS を評価することはあまり問題になりません。

ちなみにBro NIDSは最初から回避耐性を持って作られている。詳しくは原著論文をご覧ください。

于 2012-03-24T00:14:32.953 に答える