50 cara untuk memotong sistem deteksi intrusi
Kata pengantar oleh penerjemah: sebuah pengantar kecil untuk artikel asli dihapus karena itu tidak relevan. Ini menggambarkan bagaimana Fred mendapatkan ide untuk menulis hal ini. Aku merindukan. Satu-satunya untuk menambahkan - penulis memperingatkan bahwa bahan ini harus diperlakukan secara simultan dan serius dan dengan jumlah tertentu ironi. Banyak cara untuk hanya berlaku untuk OS Unix.
· Memasukkan karakter asing ke dalam serangan, yang biasanya menyebabkan ketidakmampuan untuk mendeteksi itu. (Catatan Translator's - menyangkut sistem deteksi penyalahgunaan yang menggunakan tanda tangan serangan).
· Menggunakan tab bukan ruang dalam tim. Seperti perubahan dalam separator juga dapat menyebabkan ketidakmungkinan untuk mendeteksi serangan.
· Caranya sangat mirip dengan langkah 2. Anda bisa mengubah karakter pemisah dalam sistem (misalnya,%), yang akan menimbulkan masalah tertentu dengan sistem deteksi intrusi.
· Ubah urutan standar tindakan selama serangan. Sebagai contoh, jika serangan dilakukan sama dan dengan 'a, b, c' dan 'b; a, c', sebagian besar sistem deteksi intrusi akan mendeteksi perwujudan pertama serangan, tetapi "kios" pada variasinya.
· Membagi serangan oleh beberapa pengguna. Jika kita mengambil contoh di atas, 'a, b' menyediakan pengguna pertama, dan 'c' - yang kedua. Seperti perpisahan tidak terdeteksi oleh sistem deteksi intrusi banyak.
· Pisahkan serangan di beberapa sesi (sesi). Misalnya, dalam hal berikut: Login -> 'a, b' -> Logout -> Login - 'c'>.
· Pisahkan serangan antara IP-adresami/sistemami beberapa remote. Misalnya, dengan node X Y mulai dan 'a' dari X, 'b' dengan Y, dan 'c' kemudian lagi dengan X.
· Tentukan sebuah makro untuk perintah yang digunakan dalam serangan itu. Misalnya, 'cp' perintah mendefinisikan makro '$ ZZ' dan kemudian menggunakannya bukan 'cp'.
· Mendefinisikan makro sebagai parameter yang digunakan dalam serangan itu. Misalnya, gunakan '$ P' bukan string '/ etc / passwd'.
· Buat script yang akan menggantikan perintah yang digunakan dalam serangan itu. Jika dilaksanakan dengan hati-hati operasi ini, IDS tidak akan dapat mengaitkan dengan nama script dan instruksi untuk serangan yang akan menyebabkan ia lulus.
Biaya Tambahan - tambahkan komentar untuk garis serangan.
Biaya Tambahan - tambahkan komentar untuk garis serangan.
· Gunakan berbagai perintah untuk melakukan fungsi yang sama. Misalnya, dalam Unix 'echo *' adalah hampir sama dengan 'ls'.
· Ubah nama serangan. Misalnya, jika serangan menggunakan 'xxx' file sementara, kemudian ubah ke 'yyy'.
· Buat penerjemah kode-buku untuk serangan kata kunci. Hal ini dapat dilakukan pengiriman semua perintah serangan melalui filter menggunakan 'sed' untuk substitusi string.
· serangan Encode dikodekan 'EBCDIC', dan mengubah tipe terminal pada 'EBCDIC'. Intrusion Detection System tidak dapat mendeteksi berbagai serangan dalam pengkodean.
· Menerapkan serangan pada saluran terenkripsi.
· Gunakan notasi postfix untuk data atau perintah serangan, dan kemudian kembali ke akhir. sistem deteksi Intrusion tidak dapat mengenali perintah dikirim dalam bentuk ini. (Translator's Note - yang paling penting, untuk sistem target juga mampu memahami urutan terbalik).
· Sertakan full-dupleks (dupleks penuh) modus koneksi untuk menyerang. karakter tambahan yang dibuat dalam mode ini, sistem akan membingungkan IDS.
· Mix beberapa serangan, bergantian antara tim dari masing-masing. Intrusion Detection System seharusnya tidak masuk akal untuk mengenali salah satu dari mereka.
· Encode hasil serangan sehingga mereka tidak sesuai dengan pola dan tidak dapat digunakan untuk mendeteksi serangan. Sebagai contoh, alih-alih segera mengirimkan dirinya ke email file password, menggunakan bug di sendmail, melewati berkas ini melalui 'sed' naskah dan mengganti semua karakter ':' on '-'. Dengan demikian, Anda tidak signifikan, mengubah file password, yang akan tidak lagi cocok dengan pola.
· Serangan dari "melompat-lompat" melalui script mengganti karakter, ditulis dalam awk. Ini adalah sistem deteksi intrusi menyesatkan.
Tambahan Mengisi - Ikuti tim, dipilih dari meja di depan perintah ini dijalankan oleh nomor baris dari tabel. Misalnya, untuk menjalankan 'dir *. com' perintah yang bisa Anda berikan perintah '15 com *. '.
Tambahan Mengisi - Ikuti tim, dipilih dari meja di depan perintah ini dijalankan oleh nomor baris dari tabel. Misalnya, untuk menjalankan 'dir *. com' perintah yang bisa Anda berikan perintah '15 com *. '.
· Menekan port modul pelacakan. Misalnya, Anda dapat mengirim echo modul pelacakan port, sehingga mustahil untuk menerima data lain.
· Kirim paket sistem deteksi intrusi PING yang besar. Banyak sistem akan dinonaktifkan.
· Hancurkan sistem deteksi intrusi dengan menyerang situs yang diinstal. Mengorbankan situs ini, Anda dapat menonaktifkan sistem itu sendiri dan mendeteksi serangan.
· Buat entri palsu dalam file log untuk menyesatkan sistem deteksi intrusi. Misalnya, membuat antara peristiwa yang menjadi ciri serangan, peristiwa palsu, penipuan yang mengarah ke sistem deteksi intrusi.
· Ambil semua ruang yang dialokasikan untuk sistem deteksi intrusi. Sebagai contoh, Anda dapat membuat banyak peristiwa yang melimpah log sistem deteksi intrusi dan memungkinkan untuk mendeteksi serangan lainnya.
· Hentikan proses menghasilkan dan mengumpulkan data tentang serangan. Sebagai contoh, Anda dapat menghasilkan sejumlah besar proses-proses, sehingga mencegah proses deteksi intrusi sistem untuk pengumpulan data.
· Dapatkan sistem deteksi intrusi mengganggu koneksi. Sebagai contoh, sistem deteksi intrusi beberapa dapat menghentikan koneksi dengan host menyerang. Anda dapat membuat lalu lintas dari node yang ingin menyerang. sistem deteksi Intrusion akan memblokir semua paket yang berasal dari node dikompromikan, sehingga memberikan Anda kesempatan untuk menyerang situs ini seperti yang Anda inginkan.
· Pengulangan
· Pengulangan
· Menggunakan serangan perintah 'emacs' editor buffer 'cmd' bukannya mengetik. sistem deteksi Intrusion akan "melihat" hanya menekan tombol panas, sedangkan shell pada komputer korban akan menerima serangan tim. (Catatan Penerjemah - berpaling serba salah, namun makna umumnya dipahami).
api Sekunder - melakukan serangan sangat lambat. Karena ukuran buffer menyimpan data pendaftaran terbatas, tim pertama Anda menyerang mungkin akan hilang untuk saat-saat ketika Anda menyadari serangan tim terakhir.
api Sekunder - melakukan serangan sangat lambat. Karena ukuran buffer menyimpan data pendaftaran terbatas, tim pertama Anda menyerang mungkin akan hilang untuk saat-saat ketika Anda menyadari serangan tim terakhir.
· Memodifikasi tabel routing untuk menghindari mendapatkan lalu lintas ke IDS.
· Sebuah modifikasi sedikit contoh sebelumnya.
· Gunakan sumber routing pada komponen langsung serangan melalui rute yang berbeda, sehingga menipu sistem deteksi intrusi tunggal.
· Memulai sesi outbound dengan korban melalui modem dan koneksi ini menghabiskan serangan. Jaringan sistem deteksi intrusi akan kehilangan serangan.
· Ubah infrastruktur antara korban dan IDS. Dengan manajemen jarak jauh, dan sistem deteksi intrusi jaringan sering cukup untuk ini untuk mengubah rute lalu lintas (misalnya).
· Gunakan smart host. serangan Anda bisa diblok, tetapi dalam kasus ini sangat sulit untuk melacak sumber serangan, terutama jika lawan Anda tidak memiliki kemampuan ini.
· Mulai serangan dengan port jarang digunakan atau tidak digunakan. Sangat sering, sistem deteksi intrusi tidak mengendalikan port.
· Gunakan protokol dimodifikasi, seperti mereka yang membayar byte dalam kata-kata (misalnya, PDP-11 dan VAX).
· Gunakan IPX over IP. Intrusion Detection System dapat menarik perhatian pada-paket IP, tapi tidak mengerti isinya.
· Gunakan protokol terowongan yang berbeda untuk menyerang.
Serangan Lebih - mendefinisikan protokol dan aplikasi Anda sendiri, dan menyerang melalui mereka.
Serangan Lebih - mendefinisikan protokol dan aplikasi Anda sendiri, dan menyerang melalui mereka.
· Menyerang melalui koneksi dial-up. Jaringan sistem deteksi intrusi tidak akan pernah memperhatikan senyawa tersebut. (Catatan Translator's -. Agak titik diperdebatkan Setidaknya sistem RealSecure kontrol koneksi tersebut).
· Membuat sejumlah besar acara palsu untuk meningkatkan tingkat "kebisingan" untuk sistem deteksi intrusi. Ini serius meningkatkan waktu dan sumber daya yang dihabiskan untuk mendeteksi serangan yang sebenarnya.
· Masukkan serangan tim dalam WinWord makro. Mungkin sistem deteksi intrusi tidak dapat mendeteksi serangan itu.
· Masukkan serangan tim di dalam makro berbagai paket perangkat lunak (PowerPoint, Excel, Access, 123, dll). Mungkin sistem deteksi intrusi tidak dapat mendeteksi serangan itu.
· Tempatkan serangan dalam program yang dikompilasi (yaitu, sebuah Trojan horse), dan membiarkan korban untuk mendownload dan menjalankan file ini.
· Gunakan protokol jarang-digunakan untuk menyerang. Mungkin sistem deteksi intrusi tidak bisa menafsirkan paket protokol ini.
· Live streaming serangan ke bahasa lain yang berbeda dari yang pertama kali diterbitkan versi asli.
· Gunakan tindakan-tindakan non-teknis untuk serangan (misalnya, inzhinirig sosial). Karena sistem deteksi intrusi beroperasi dengan hanya bit dan byte, banyak serangan digunakan saat ini tidak akan terdeteksi.
· Serangan pada setiap situs yang fungsional tidak berjalan Unix. Hampir semua sistem deteksi intrusi yang ada tidak mendeteksi serangan ditujukan bukan pada Unix. (Catatan Translator's - cara ini telah lama usang).
· Gunakan salah satu dari ribuan serangan yang belum terdeteksi oleh sistem deteksi intrusi.
