IDS攻击分析

28．逆向输入。
再使用一个转换工具转换。在发送和接受时作同样的事情。这只是一种伪装shell的新办法。

29．输入时中间插入符号，再用awk转变成前缀符。
IDS系统将不会中断连接。仅仅在网络IDS观察telnet或rlogin会话时才有用。这些技术很难轻易的在ftp,http,smtp等其他的协议上使用。

30．使用"emacs"作为shell，使用wipes和yanks输入输出命令缓存代替手工键入。
当在目标机执行攻击指令时IDS系统将只会看到类似于ctrl-W和ctrl-Y。NFR和RealSecure将察觉"emacs"的使用，因为不使用"vi"的人很明显的是hacker。同样，这也只是另一个隐藏命令的方法。通常只对telnet和rlogin有用。

很缓慢的输入（每条命令之间最好相隔几个小时）。因为缓存大小的限制，您的输入被一大堆IDS不得不看的东西冲掉了。网络IDS有这样的弱点。主机IDS没有。一些网络IDS,如NFR、Dragon等能够被配置的足够发现长时间的低带宽的网络会话。

31.改变到目标的路由来躲过IDS
假如有拓扑方面知识的话，这将是一种有效的攻击。为了进行这种攻击，必须进行一定的网络解析。这将很容易的被网络IDS系统发现。这种攻击同时需要对passive IDS系统了如指掌。

32.改变从目标回来的返回路由来避免IDS
33．用源路由包指定不同的路由到目标，能够躲过一些单一的IDS
几乎任何的防火墙，路由器和服务器都会丢弃并且纪录源路由包。31、32、33都假设有备用的通道能够到达目标，但实际上，网络IDS能够配置成一个遏制点。

34.从被保护网络上用modem拨号进行攻击，能够躲过网络IDS系统
当然，我们有更多的办法来躲过IDS系统，先观察他们，再从他们不会察觉的地方入手。例如，我们能够向被Axent IA，BlackICE，甚至RealSecure保护的Windows NT系统释放一个病毒。这些IDS系统都不会察觉系统级的病毒。

35.干扰目标和IDS之间的通信。对于网络IDS，能够采用改变路由器通信的办法
网络IDS通过监听网络通信的办法来实现。假如通信没有被监听到，那么就不会有入侵察觉。这种攻击仅仅当攻击者能够改变内部网络路由，并且从通信到流量都有其他的存取点。许多网络IDS系统能够察觉到改变路由的企图。

36．从跳板进行攻击。攻击将被察觉，但他们不会追踪到（除非他们特别擅长追踪）
但这种办法不是躲过IDS系统。仅仅是改变了IDS检测出的入侵主机。而且您作为跳板的主机可能也会监测到您的行为。

37．在不使用的端口上开启一个连接
这样做的前提是攻击者已能够访问到目标。新的攻击不会以这种方式开始。有许多程式例如NetCat能够做这样的事情。大部分这样的程式都能够被网络IDS发现。RealSecure这样的产品甚至能发现LOKI ICMP 会话。

38.使用改变过的协议通信，例如在单词中使用逆序
这只是加密网络传输。前提条件是在对方网络里有一个对应的系统。

39．使用ip包封装ipx包来攻击。IDS系统可能仅仅注意ip包，但不理解他的内容
但是假如对方有一个基于ipx的IDS系统，他们就会发现这次攻击。

40．使用不同的隧道协议攻击。例如IP over SSL
还是加密传输技术。

为新的工具定义您自己的协议，然后用他攻击。您控制目标主机，写您自己的加密管道，用他在IDS系统面前通信，这并不是躲过IDS系统。

41．产生大量虚假的攻击信息来增加IDS的Noise级别。这将使管理员很难从大量信息中筛选出真实的攻击
很有意思，但是考虑到网络管理系统被设计为用不为人所理解的方式处理和显示信息。IDS系统也相同。例如，Dragong，在许多不同级别的提取中，用一些不同的工具来寻找不同的数据。企业及产品例如WebTrends 趋向于用一种很容易理解的方式来显示任何整理过的安全信息。攻击者假如照前文所说的做了，他会使目标的alert级别升高。

43．把入侵指令放在一个word宏里面。把文档发送到目标。Ids可能不会解码宏里面的攻击指令
参考34。一些产品如RealSecure会发现可疑的JAVA和ActiveX下载。带有病毒检测的应用代理防火墙同样能够察觉这样的攻击。

44.把入侵指令放到Power point、lotus-123等任何您能想到的其他产品的宏里面
45．把指令放到编译后的程式里（例如，一个木马），然后，想办法让目标主机下载然后执行
这是个经典的攻击。常见的木马能够被许多主机和网络IDS发现。一些防火墙甚至能够发现BO2K的扫描。从另一方面来说，这也是今天电脑安全所面临的最严重的问题之一。几乎不可能检查二进制程式甚至源码来预测他将要做什么。IDS也做不到，但这也不是您扔掉IDS产品的理由。当您想要用E-mail发送敏感的公司信息时，大部分IDS或防火墙产品同样也不会发现。

46．使用很少见的协议来攻击。IDS可能不知道如何解码这种包
协议并不是个很好的词语。假如他意味着不同的udp/tcp端口，那么网络IDS就应该发现他。但是许多网络IDS产品仅仅把他们能够理解的标记为可疑。对以非icmp,udp,tcp的方式进行的攻击，很多IDS虽然能够检测到却无法识别。

47．用不同的语言对原始发布的exploit重写
我认为这不是很有用。例如check-cgi程式，他已传播了好几个月，能够检查70多个cgi漏洞。他被从c移植到Perl，但在网络层上没有任何不同。这种方法仅仅当IDS只搜寻特定的二进制程式才有效。

49．攻击没有运行unix的系统。因为今天几乎任何的IDS都是针对unix系统的
一份调查显示NetProwler，NFR Flight Jacket，NetRanger，RealSecure，Dragon，BlackICE 都能够发现多数的windows NT类攻击。