入侵检测系统逃避技术和对策的介绍

天山雪

　　在网络蓬勃发展的几天，网络安全问题日益突出。网络上的黑、白两道在网络安全的各个领域都展开了激烈的竞争。黑帽社团不断推出躲避或者越过网络入侵检测系统(Network Intrusion Detection System,NIDS)的新技术，而NIDS的开发者不断地在自己的产品中加入对这些技术的检测。但是，由于NIDS本身的局限性，胜利的天平正在向黑帽子倾斜。本文将讨论一些基本的IDS躲避技术，以及如何识破这些技术。
　　1.字符串匹配的弱点

　　针对基本字符串匹配弱点的IDS躲避技术是最早被提出和实现的。一些基于特征码的入侵检测设备几乎完全依赖于字符串匹配算法，而对于一个编写很差的特征码，攻击者可以轻松地破坏对其的字符串匹配。虽然不是所有的入侵检测系统都是纯粹基于特征码检测的，但是绝大多数对字符串匹配算法有很大的依赖。这里，我们将使用开放源码工具snort的特征码来进行讨论。

　　在UNIX系统中，/etc/passwd是一个重要的文件，它包含用户名、组成员关系和为用户分配的shell等信息。我们就从监视对/etc/passwd文件的访问开始，下面是用于检测的snort检测规则：

　　alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC /etc/passwd";

　　flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122;rev:1)

　　snort使用字符串匹配算法对包含特征码(/etc/passwd)的HTTP请求进行检测。但是，这个规则的特征码过于简单了，攻击者修改攻击字 符串可以很轻松地逃过检测(我们暂时不考虑攻击请求是通过HTTP发出的)。例如，把攻击请求由GET/etc/passwd改为GET /etc//\// passwd，或者GET /etc/rc.d/.././\passwd，修改方式简直不计其数。这是最基本的娶亲检测逃避技术，对这种技术的检测也相对容易一些，只要在编写特征码时能够仔细考虑一下攻击可能出现的变体。目前大多数流行入侵检测系统都有非常强大的字符串匹配能力，足以检测此类攻击的大多数变体。不过，仍然有些编写不太好的特征码可以给攻击者以可乘之机。

　　攻击者还可以在此基础上再加以变化，几乎不费吹灰之力就可以加大入侵检测系统的防御难度。例如在telnet之类的交互会话中，攻击者企图读取/etc/passwd文件。通常，入侵检测系统中存在很多特征码一些误用操作和后门等，但是这些特征码一般只包含黑客工具名、文件名和程序名。在获得/etc/passwd文件的内容时，我们不直接输入cat/etc/passwd等命令行，而是通过一个命令解释器(例如：perl)来实现我们的目的：

　　badguy@host$Content$nbsp;perl -e

　　‘$foo=pack(“C11”,47,101,116,99,47,112,97,115,115,119,100);

　　@bam=`/bin/cat/ $foo`; print”@bam\n”;’

　　从这个命令中，入侵检测系统根本就不会重组出/etc/passwd这些字符。显然，防御这种攻击就很困难了，因为这要求入侵检测系统必须能够理解这种解释器如何收到的命令，这恐怕不太现实。当然，入侵检测系统也可以对使用解释器的可疑行为进行报警，但是它很难对攻击行为进行精确的监视。

　　通过把字符串处理技术和字符替换技术结合到一起，我们可疑实现更复杂的字符串伪装。对于WEB请求，我们不必使用命令解释器，在我们的请求中使用16进制的URL即可，以下的请求可以被目标WEB服务器解释为/etc/passwd：

　　GET %65%74%63/%70%61%73%73%77%64或者

　　GET %65%74%63/%70a%73%73%77d

　　为了捕获这一个字符串的所有变体，你可能需要1000个以上的特征码进行字符串匹配，这还没有考虑UNICODE。UNICODE提供了另一 种字符表达方式。有关UNICODE的IDS欺骗技术细节，本文将不多做讨论。如果想了解更多细节请参考SecurityFocus的IDS Evasion with Unicode。除此之外，RainForestPuppy在他的HTTP扫描工具Whisker中采用了另外一些IDS欺骗技术：

天山雪

　　-I 1 IDS-evasive mode 1 (URL编码)

　　-I 2 IDS-evasive mode 2 (/./目录插入)

　　-I 3 IDS-evasive mode 3 (过早结束URL)

　　-I 4 IDS-evasive mode 4 (长URL)

　　-I 5 IDS-evasive mode 5 (伪造参数)

　　-I 6 IDS-evasive mode 6 (TAB分割) (not NT/IIS)

　　-I 7 IDS-evasive mode 7 (大小写敏感)

　　-I 8 IDS-evasive mode 8 (Windows分割符)

　　-I 9 IDS-evasive mode 9 (会话拼接) (slow)

　　-I 0 IDS-evasive mode 0 (NULL方法)

　　如果想了解上面这些方法的技术细节，可以参考A Look At Whisker’s Anti-IDS Tactics。需要特别说明的是，rfp把whisker采用的anti-ids技术 单独放到了libwhisker(使用perl编写的)库中，为其它的程序采用这些技术提供了很大的便利。另外，nessus和babelweb等扫描工具都有自己的应用层入侵检测躲避技术。

　　现在，IDS开发人员对各种网络协议有了更深入的理解，并且入侵检测设备在对数据包的负载进行字符串匹配之前会进行必要的协议分析，因此现在的IDS已经能够很好地处理上述的欺骗技术了。但是多余的字符转换又提高了入侵检测系统的负载，有时是得不偿失。为了减小这个跗面影响，开发人员可以使入侵检测系统只在特定的端口进行字符转换。

　　2.多变shell代码(polymorphic shell code)


　　多变shell代码(polymorphic shell code)技术由K2开发的，设计思想来源于病毒逃避(virus evasion)技术。使用这种技术重新构造的shell代码更为危险，入侵检测设备非常难以检测到。这种技术只用于缓冲区溢出攻击，对付基于特征码的检测系统非常有效，而对于智能化的或者基于协议分析的检测系统的效果要差很多。为了便于讨论，我们以SSH CRC32缓冲区为例。我们先看以下snort检测规则：

　　alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32

　　overflow /bin/sh"; flags:A+; content:"/bin/sh"; reference:bugtraq,2347;

　　reference:cve,CVE-2001-0144; classtype:shellcode-detect; sid:1324; rev:1;)

　　alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32

　　overflow NOOP"; flags:A+; content:"　90 90 90 90 90 90 90 90 90 90 90 90 90 90 90)

　　上面的第一条规则简单地检查从外部到$HOME_NET，目标端口是22的数据包，搜索里面是否包含字符串/bin/sh。第二条规则是检查是否 包含x86空操作字符(0x90)。多变shell代码(polymorphic shell code)使用很多方法逃避字符串匹配系统的检测。首先(以x86架构为例)， 使用其它的字符代替0x90执行无操作(no-op)指令。对于X86架构，有55种替代方式，其它的要少一些。这些替代方式以一种伪随机的 方式结合到一块，建立缓冲区溢出shell代码包含无操作(no-op)指令的部分。想了解无操作(no-op)指令的所有替代字符可以参考http:// cansecwest.com/noplist-v1-1.txt。除此之外，shell代码本身也采用XOR机制编码。通过这种方式建立的缓冲区溢出shell代码被重组后不会包含以上的特征码，从而能够逃过字符串匹配检测。

　　多变shell代码检测对基于特征码检测的IDS是一个很大的挑战。Next Generation Security Technologie公司的技术白皮书Polymorphic Shellcodes vs. Application IDSs中提出了一些检测多变shell代码的设想。通过搜索无操作(no-op)字符的一个特定长度的正则表达式，可以实现对多变 shell代码的精确检测。最近，Dragos Ruiu发布了一个用于检测多变shell代码的snort预处理插件spp_fnord，这个插件采用了和上面相似的 检测技术。这个预处理插件有端口和长度两个配置选项。例如，如果某个人在配置时设置了80、21、23和53等端口，它就只对这几个 端口的数据流量进行多变shell代码的检测，而不会对其它端口(例如：22)进行检测。

天山雪

　　3.会话拼接(session splicing，叫会话分割更合适一些)

　　上面讨论的这些方法都是属于攻击数据在一个数据包中的情况，没有涉及攻击数据和会话通过多个数据包投递的情况。RFP在Whisker 中实现了一种IDS逃避技术叫作会话拼接(session splicing)，就是把会话数据放到多个数据包中发出，例如：

　　+-------------------------+

　　packet number 　 content

　　---------------+---------

　　1 　 G

　　---------------+---------

　　2 　 E

　　---------------+---------

　　3 　 T

　　---------------+---------

　　4 　 20

　　---------------+---------

　　5 　 /

　　---------------+---------

　　6 　 H

　　+---------------+---------+

　　通过这种方式，每次只投递几个字节的数据，就可能避开字符串匹配入侵检测系统的监视。要监视这种攻击，需要入侵检测系统或者 能够理解、监视网络会话(即使IDS有这种能力，攻击者也可以通过其它的凡是避开监视)，或者采用其它的技术监视这种攻击。snort使 用以下规则来监视会话拼接：


　　alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC whisker

　　space splice attack"; content:"　20　"; flags:A+; dsize:1;

　　reference:arachnids,296; classtype:attempted-recon; reference)

　　这条规则使snort检测目标为$HTTP_SERVERS 80端口的ACK报文的负载长度是否等于1以及是否包含空格(16进制的20)。使用这条规则可以精确地检测出whisker，但是攻击者只要稍加修改就可以避开这个检测。为了能够检测可能出现的会话拼接攻击，可以对上面这条 snort规则进行扩展，使其检查负载很短的HTTP请求。但是，这样做的副作用是提高了误报警数量，而且在某些情况下攻击者还是能 够避开监视。为了真正有效地检测这种攻击，需要入侵检测系统能够完整地理解网络会话，不过这是非常困难的。应该注意的是目前 大多数系统能够重组会话，在所有的会话数据到达之前，它们会等待一些时间。而等待时间的长短与程序有关。例如，Apache/RedHat 的会话超时时间是6分钟，IIS/Win2K等待的时间非常长。因此，攻击者完全可以每15分钟发送一个字节的会话数据，而IIS还会认为是有效的会话。最新版本的snort能够监视长期的会话和网络层欺骗，例如：小TTL值。

　　4.碎片攻击

　　碎片攻击和会话拼接(session splicing)有点类似。直到最近，很多入侵检测系统在进行字符串匹配之前不能准确地重组碎片。现在这种 情况有了改观，所有的入侵检测系统都能够进行某些重组。不过，还是有很多方法可以避开入侵检测系统的监视。碎片重组的问题是 在进行字符串匹配以前，入侵检测系统必须在内存中缓存所有的碎片，然后进行重组。而且，他还需要直到、碎片在目的主机会如何 重组。Thomas Ptacek and Timoth Newsham于1998年写的Insertion,Evasion and Denial of Service: Eluding Network Intrusion Detection描述了许多基于网络的碎片躲避和其它类型的躲避技术。碎片攻击包括：碎片覆盖、碎片重写、碎片超时和针对网络拓扑的碎片技术(例如使用小的 TTL)等。下面，我们将详细讨论。

　　4.1.碎片覆盖

　　所谓碎片覆盖就是发送碎片覆盖先前碎片中的数据。例如：

　　碎片1 GET x.idd

　　碎片2 a.?(缓冲区溢出数据)

　　第二个碎片的第一个字符覆盖第一个碎片最后一个字符，这两个碎片被重组之后就变成了GET x.ida?(缓冲区溢出数据)。实际情况远非这么简单。

　　4.2.碎片数据覆盖

　　这种方法和上面的碎片覆盖有些类似，只不过是覆盖全部的碎片数据，例如：

　　碎片1 GET x.id

　　碎片2 一些随机的字符

　　碎片3 a.?(缓冲区溢出数据)

　　这些碎片在经过目标系统的重组之后，碎片3将完全覆盖碎片2，重组之后的数据变成GET x.ida?(缓冲区溢出数据)。如果入侵检测系统的重组方式和目标系统不同，就无法重组出“GET x.ida?(缓冲区溢出数据)”，因此就检测不出这个攻击。

天山雪

　　4.3.碎片超时

　　这种攻击依赖于入侵检测系统在丢弃碎片之前会保存多少时间。大多数系统会在60秒之后将丢弃不完整的碎片流(从收到第一个碎片开 始计时)。如果入侵检测系统保存碎片的时间小于60秒，就会漏掉某些攻击。例如：

　　碎片1(设置了MF位) GET foo.id

　　碎片2(59秒之后发出) a?(缓冲区溢出数据)

　　如果IDS保存起始碎片的时间不到60秒，就会漏过攻击。幸运的是，如果配置没有错误，现在的网络入侵检测系统能够检测此类攻击。

　　这种技术结合其它的网络技术(例如：TTL值)将更有威胁。如果入侵检测系统和被监视的系统不在同一个网段，攻击者就可以在TTL上做手脚。有的单位由于经费的限制，不能在自己的每个子网都部署IDS节点，只在网络的出入口部署一套IDS，监视所有的网络流量。这种情况下，如果被攻击的主机在其它的子网，攻击数据包到目标系统的跳数就大于到IDS的跳数。攻击者可以伪造碎片的TTL，使某些碎片刚好能够到达，而无法到达目标系统，例如：碎片序号 负载 TTL(假设攻击者到目标的跳数是5，到IDS的跳数是3)

　　1 GET foo.id 5

　　2 evasion.html 3

　　3 a?(缓冲区溢出数据) 5

　　从这些碎片中，IDS重组的数据是“GET foo.idevasion.html a?(缓冲区溢出数据)”或者“GET foo.idevasion.html”(如果IDS的超时时间小于60秒)。通过这种方式，攻击者成功地在IDS中插入了垃圾数据。

　　5.碎片和snort特征码


　　下面我们把上述攻击和某些snort特征码进行比较。对于.ida缓冲区溢出攻击，默认的snort特征码几乎无法捕获任何通过碎片发动的攻击(如果使用了frag2预处理模块，snort可以截获碎片超时攻击)。下面是针对.ida缓冲区溢出攻击的snort检测规则：

　　alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS ISAPI

　　.ida attempt"; uricontent:".ida?"; nocase; dsize:>239; flags:A+;

　　reference:arachnids,552; classtype:web-application-attack;

　　reference:cve,CAN-2000-0071;sid:1243;rev:2;)

　　另外，snort还有一条检测小碎片的规则，一旦发现太小的碎片，就会触发这条规则：

　　alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC Tiny

　　Fragments";fragbits:M;dsize: < 25; classtype:bad-unknown;sid:522)

　　但是，这样还是不能检测某些攻击。还是以ida缓冲区溢出为例，这个攻击实际上和请求的URI无关，因此攻击者可以在前面加入一些垃圾数据以避免触发碎片检测规则。

　　碎片1 GET reallylongstringtoevadedetect.i

　　碎片2 da?(缓冲区溢出数据)

　　这些技术并非只针对snort。Cisco Secure IDS也能够进行碎片重组，并且能够对上述碎片攻击进行报警。

　　实际上，碎片攻击要复杂的多，尤其是涉及到TTL和碎片覆盖。如果想更为深入地了解这方面技术，请参考Network Intrusion Detection: Evasion, Traffic Normalization, and End-to-End Protocol Semantics。

　　检测碎片攻击也非常困难。使IDS的碎片超时时间至少为60秒，增加对异常碎片的报警，最重要的是系统管理人员要对碎片攻击的潜在威胁有清醒的认识。2002年四月，Dug Song发布了Fragroute，引发了不小的震动。很快，snort社团发布了能够对碎片攻击进行更好检测的snort1.8.6版。

　　6.拒绝服务

　　还有一种比较野蛮的方法就是拒绝服务。拒绝服务可以针对检测设备本身和管理设备。Stick、snot和其它一些测试工具能够是入侵检测设备产生大量的报警。使用这些工具，可以达成如下目标：

　　消耗检测设备的处理能力，是真正的攻击逃过检测。

　　塞满硬盘空间，使检测设备无法记录日志。

　　使检测设备产生超出其处理能力的报警。

　　使系统管理人员无法研究所有的报警。

天山雪

　　挂掉检测设备。

　　对IDS来说，这类工具无迹可寻，因此非常难以对付。

　　结论

　　本文我们讨论了一些常用的IDS躲避技术及其对策。其中有些技术需要攻击者具有熟练的攻击技巧，而有写技术却无需太多的技巧。而fragroute之类的工具出现，大大降低了攻击者采用某些技术的难度，使防御的一方总是处于被动。