理解IDS的主动响应机制(4) 当前指针(CP)
数据包到达后CP指针一次性移动
在绝大数TCP实现中,RESET包必须与CP指针相符合,否则RESET包将会被抛弃。好了,一切彻底明朗了,只要我们能够构造一串连续的数据包,修改当前的CP。比如在上面我们的例子中,我们在第三个包之后构造第四个包,比如包含一个空格或者别的什么,只要不影响攻击的效果。我们以非常快的速度连续发出这两个包,则当IDS抓到第三个包的时候,它会产生RESET包,不过此时第四个包已经到达了目标主机,修改了CP指针。当IDS发出的RESET包到达目标主机时,这个RESET包就被忽略了。(我们前面说过IDS都是有延迟的)。同时我们可以有一个更好的办法,我们在构造数据包的时候,先发送第四个数据包,再发送第3个数据包,则第四个数据包先到达,它进入到缓冲区中,不过此时的CP并没有改变,当第3个包到达时,CP将移动到第4个数据包之后,这样一来无论IDS产生的RESET能够以多快的速度发出,此RESET的确认序列总是根据第3个包产生的,则它肯定被忽略。因为CP指针早就改变了。
三、结论 本文主要讲述了RESET包阻止TCP会话的IDS主动响应机制,至于防火墙联动的机制,我们其实可以通过欺骗,跳转(如FTP跳转等,请参看phrack 51)等方式,造成防火墙错误的拒绝某些重要的地址,比如网关路由的地址,DNS地址等等,这样也可以给使用者带来很大的干扰,同时一般来说防火墙联动机制会有1至2秒的延迟,这个时间完全够攻击者给目标主机安插一个后门,如此以来,什么样的防御都可能很轻松的突破了。通过本文的讲述,我们可以看到IDS提供了一种主动响应的机制,这比单纯的报警而没有响应好了很多,也很吸引用户,甚至这一点成了很多厂商的宣传武器,让很多消费者以为这时非常高超的技术,其实一个稍据TCP/IP知识的攻击者,就可以让这种响应机制失效,而这一点似乎没有那个厂商提醒过用户!!!这算不算是一种欺骗呢?!
