(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش ششم: دور زدن IPS و مقابله با ان

روش های دور زدن IPS و مقابله با آن
در اینجا روش هایی که هکرها برای دور زدن IPS استفاده می کنند و روش های مقابله با ان گفته می شود.
روش های دور زدن IPS :

  • Encrption And Tunneling

در این حالت ترافیک رمزنگاری شده است یا از طریق تونل عبور داده می شود

  • Timing Attacks

در این روش هکر حملات خود را در زمان های بزرگ تر انجام می دهد تا IPS نتواند متوجه او شود به طور مثال استفاده از NMap جهت اسکن پورت ها در زمان های مختلف

  • Resource Exhausion

در این روش هکر IPS یا Admin را درگیر می کند.
در این روش هکر ترافیک زیادی به IPS ارسال می کند که IPS نتواند تمامی ترافیک را بررسی کند و هکر در اینجا ترافیک آلوده خود را ما بین این ترافیک ارسال می کند.
یا هکر شروع به ارسال ترافیک های کوچک مخرب (Noise Traffic) به IPS می کند که باعث تولید Alertهای فراوان و کم اهمیت شود و Admin را درگیر بررسی این Alertها می کند و هکر در این بین کار خود را می کند و با توجه به زیاد بودن این Alertها admin نمی تواند تمام این Alertها را بررسی کند و در نتیجه Alertهای مهم نادیده می شود.

  • Traffic Fragmentation :

در این روش هکر کد مخرب خود را روی بسته های یک Session توزیع می کند که IPS متوجه ان نشود.

  • Protocol-level Misinterpretation :

گول زدن IPS در سطح پروتکل می باشد که به دو نمونه از ان اشاره می کنیم:
TCP Checksum Attacks : در این حالت هکر یک بسته TCP سالم را با Checksum خراب ارسال می کند IPS بسته را مورد بازرسی قرار می دهد و می بیند بسته سالم است اما Checksum ان خراب است در نتیجه انرا Drop می کند حالا هکر دوباره یک بسته با دیتای مخرب و مشخصات Header بسته قبلی و Checksum سالم ارسال می کند. IPS انرا دریافت می کند و فکر می کند همان همان بسته قبلی است که Checksum ان تصحیح شده است در نتیجه بدون بررسی دیتای بسته انرا ار خود عبور می دهد.
TCP TTL Attacks : در اینجا هکر یک بسته با دیتای سالم با TTL پایین ارسال می کند IPS انرا دریافت و بررسی می کند و از خود عبورمی دهد اما چون TTL ان پایین است به مقصد نمی رسد. حالا هکر مجدد یک بسته با مشخصات بسته قبل با دیتای مخرب و TTL درست ارسال می کند و IPS فکر می کند که همان بسته قبلی (Duplicate) است و در نتیجه ان را از خود عبور می دهد.

  • Traffic Substitution And Insertion :

در این روش ماهیت ترافیک را تغییر می دهیم.
به این صورت که برداشت IPS از ترافیک با برداشت مقصد از ترافیک متفاوت باشد.
به طور مثال از کد اسکی به جای Unicode استفاده شود.
یا استفاده از کلید Tab به جای Space
کد مخرب را با یک زبان برنامه نویسی دیگر بنویسیم و ارسال کنیم.

روش های مقابله با این دور زدن ها :

  • Encrption And Tunneling

IPS فقط می تواند Gre Tunneling را مورد بازرسی قرار دهد.
در باقی موارد تنها راه استفاده از HIPS روی Host مورد نظر می باشد.

  • Timing Attacks

استفاده از ابزارهایی مانند MARS

  • Resource Exhausion

استفاده از خلاصه کردن Alertها
برای جلوگیری از این روش IPS می تواند Alertهای تولید شده را خلاصه کند به طور مثال اعلام کند از این Alert تعداد 1000 عدد تولید شده است.

  • Traffic Fragmentation :

این روش در IPSهای سیسکو قابل شناسایی است چون IPS کل بسته های مربوط به یک Session را در حافظه خود Reassembly می کند.

  • Protocol-level Misinterpretation :

با چک کردن اعتبار این بسته ها

  • Traffic Substitution And Insertion :

باید بسته ها با روش های مختلف و حالت های متفاوت مورد بررسی و ارزیابی قرار گیرد.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *