Методы обхода систем обнаружения вторжений

Системы обнаружения вторжений имеют свои слабые стороны уязвимости, что может быть использовано нарушителем. Рассмотрим основные точки уязвимостей СОВ и методы, которые могут использовать нарушителя для обмана СОВ.

Каждый из компонентов СОВ, указанных в модели CIDF, имеет свое уникальное значение и может быть атакован по разным причинам.

Например, e-box, работающие с входными «сырыми» данными, действует как «глаза и уши» СОВ. Атаки против элементов генерации событий позволяют блокировать реальные события, происходящие в контролируемой системе. Тогда атака против блоков сетей СОВ может сделать недоступным получение пакетов из сети или сделать недоступными соответствующие декодирование этих пакетов.

Некоторые СОВ используют сложный анализ. В таких системах надежность используемого a-box очень важна, поскольку атакующий может обойти систему обнаружения. С другой стороны, простейшие системы могут пропустить атаки, в которых атакующий маскирует свою деятельность сложным скоординированным взаимодействием или взаимосвязями.

Необходимость надежной базы данных очевидна. Атакующий может разрушить компоненты dbox, может защитится от записи деталей атаки. Неправильно используемая БД может позволить атакующему замену или удаление зарегистрированных данных об атаке.

Подробнее исследование, посвященное методам обмана и обходов СОВ, было проведено Пласеком и Ньюшемом в 1998 г. основной областью сетевых СОВ является то, что они не принимают решение на основе анализа сетевого трафика, поэтому не могут предсказать, как поведет себя целевая система при получении этого трафика. Кроме того, СОВ могут быть подтверждены атаками отказа в обслуживании (выведении их из строя или исчерпании их ресурсов). Рассмотрим основные подходы к обходу сетевых СОВ.

Обход (обман) СОВ существенно зависит от того, достаточно ли сильна сама СОВ, чтобы СОВ и целевая система рассматривали разные потоки данных одинаковым образом. Рассмотрим два основных варианта.

Если СОВ слабее целевой системы, на которую направлена атака, то при принятии решения СОВ может рассматривать пакет, который целевая система рассматривать не будет. Атакующий может использовать эту возможность вставкой дополнительных пакетов, которые замаскируют атаку для СОВ. Поскольку эти дополнительные (специально сформированные) пакеты будет отброшены целевой системой, атака не будет обнаружена. Например, если СОВ для атаки имеет сигнатуру вида GET/phf, то атакующий может вставить дополнительную информацию, которая замаскирует реальную сигнатуру атаки, например GET/cgi-bin /…, или гораздо более длинную строку вида: GET/??? В этой строке вставлены элементы leasedontectt, is, orme, после отбрасывания которых целевая система получит пакет, содержания phf.

Если СОВ сильнее целевой системы, то целевая система будет принимать пакеты, которые СОВ не будет рассматривать, что может быть достигнуто использованием метода вставки. Например, для атаки phf атакующий может вставлять элементы данной атаки в пакеты для СОВ с дополнительной информацией. Тогда СОВ отбросит эти пакеты, но они будут рассмотрены целевой системой. Такой подход может позволить замаскировать атаку для СОВ.

Другим общим методом обмана СОВ является метод фрагментирование. В этом случае используется различие способностей СОВ и целевой системы по проведению реассемблирования пакетов. Атакующий может сконструировать последовательность пакетов, которая будет скрывать сигнатуру проводимой атаки, используя знания о силе или слабости СОВ по сравнению с целевой системой.

При применении метода вставки нарушитель разрушает работу реассемблирования потока данных добавлением пакетов. Кроме того, вставленные пакеты могут перекрывать данные, содержащиеся в исходных фрагментах атаки. При использовании метода обхода нарушитель разгружает реассемблирование потока данных так, чтобы СОВ не рассматривала часть этого потока.

Особенно трудно защищаться от атак отказа в обслуживании, направленных против самой СОВ. Это также может быть достигнуто использованием метода вставки большого числа пакетов, чтобы вызвать пропуск отдельных пакетов СОВ, или применением многочисленной фрагментации.