黑客针对木马及几种罕见途径绕过IDS

我们知道，IDS作为企业防护系统也不是万能的，黑客可以通过针对HTTP请求和缓冲区溢出绕过IDS防护。除了针对HTTP和缓冲区溢出的欺骗模式，针对木马绕过IDS的方式也十分常见，但是可以绕过IDS防护的方法并不只有上述三种，还有一些不太常用的途径也应该引起注意。

专注于为中小企业提供网站设计、成都网站建设服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业华安免费做网站提供优质的服务。我们立足成都，凝聚了一批互联网行业人才，有力地推动了上千企业的稳健成长，帮助中小企业通过网站建设实现规模扩充和转变。

针对木马以绕过IDS

IDS检测木马和后门程序一般是通过端口来判断的，一般是通过后门程序的默认端口的连接来判断的，如Netspy的默认端口是7306，BO2k的默认端口是54320（1），所以只要后门程序不使用默认值就可以逃过一些IDS的法眼。目前大部分后门程序的通信都已采用加密的方式，所以目前的大部分NIDS只能通过非正常端口建立连接来判断，如果后门程序采用正常的端口进行通信，IDS就很有可能漏报！

缓慢扫描：

一般的IDS是通过在一定时间内某个IP扫描过的端口数或IP数是否超过阀值来判断是否扫描，所以如果扫描的间隔超过IDS中指定的时间，而且采用多个IP协同扫描的话，IDS就不能判断攻击者是否扫描。

地址欺骗：

利用代理或者伪造IP包进行攻击，隐藏攻击者的IP，使NIDS不能发现攻击者所在。目前的NIDS只能根据异常包中的地址判断攻击来源。

利用LLKM处理网络通信：

利用LLKM简单、临时改变TCP/IP协议栈的行为，如更改出现在网络传输线路上的TCP标志位，躲避一些IDS的监视。

复杂的TCP/IP包处理：

利用IDS不能正确模拟所有的TCP/IP栈的可能行为，对TCP/IP数据包进行特殊的处理以避过IDS。如将TCP/IP包分成很小的碎片，或者是打乱包的发送顺序，或者是发送重叠的包，或者是包含有不正确校验和、不正确序列号等，正常的TCP/IP软件可以正确重组和处理包，而有相当多的NIDS不能正确处理这些包，所以会忽略基于这种特殊包的攻击。

测试NIDS关于TCP/IP包的处理能力，可以使用fragrouter 或者 Cybercop Scanner。 

分享名称：黑客针对木马及几种罕见途径绕过IDS
网页地址：http://www.csdahua.cn/qtweb/news9/213309.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网