九种突破IDS入侵检测系统的实用方法

　　入侵检测系统，英文简写为IDS，顾名思义，它是用来实时检测攻击行为以及报告攻击的。如果把防火墙比作守卫网络大门的门卫的话，那么入侵检测系统(IDS)就是可以主动寻找罪犯的巡警。因而寻求突破IDS的技术对漏洞扫描、脚本注入、URL攻击等有着非凡的意义，同时也是为了使IDS进一步趋向完善。

　　Snort是很多人都在用的一个IDS了，其实它也并不是万能的，笔者下面就来谈谈突破诸如Snort这类基于网络的IDS的方法：多态URL技术。

　　提起多态二字，大家可能会联想到编写病毒技术中的“多态”、“变形”等加密技术，其实我这里所要讲的URL多态编码技术和病毒的多态变形技术也有神似之处，就是用不同的表现形式来实现相同的目的。

　　对于同一个URL，我们可以用不同形式的编码来表示。IDS在实时检测时，将它检测到的数据与其本身规则集文件中规定为具有攻击意图的字符串进行对比，如果相匹配的话，则说明系统正在受攻击，从而阻止攻击以及发出警报。因为实现同一目的的URL可以用不同的形式来表示，所以经过变形编码后的URL可能就不在IDS的规则集文件中，也就扰乱了IDS的识别标志分析引擎，从而就实现了突破、绕过IDS的效果!

　　多态URL编码技术有许多种，笔者在此介绍9种常用且有一定代表性的方法。为了便于讲解，这里以提交地址为/msadc/ msadcs.dll的URL来作为例。“/msadc/msadcs.dll”已经被收集到snort等各大IDS的规则集文件中，因而当我们向目标机器直接提交/msadc/ msadcs.dll时都会被IDS截获并报警。

　　第一招：“/./” 字符串插入法

　　鉴于“./”的特殊作用，我们可以把它插入进URL中来实现URL的变形。比如对于/msadc/msadcs.dll，我们可以将它改写为/././msadc/././msadcs.dll、/./msadc/.//./msadcs.dll等形式来扰乱了IDS的识别标志分析引擎，实现了欺骗IDS的目的。而且改写后编码后的URL与未修改时在访问效果上是等效的。笔者曾经通过实验表明这种方法可以绕过Snort等IDS。