@Sophia
1年前 提问
2个回答

如何检测网络攻击行为

delay
1年前
官方采纳

可以利用入侵检测系统,顾名思义,它是用来实时检测攻击行为以及报告攻击的。

以下介绍九种IDS入侵检测系统检测攻击行为方法:

第一招:“/./” 字符串插入法

鉴于“./”的特殊作用,我们可以把它插入进URL中来实现URL的变形。这种方法可以绕过Snort等IDS。

第二招:十六进制编码

对于一个字符,我们可以用转义符号“%” 加上其十六进制的ASCII码来表示。但是这种方法对采用了HTTP预处理技术的IDS是无效的。

第三招:“00 ” ASCII码

可以把/msadc/msadcs.dll改写为/msadc/msadcs.dll Iloveheikefangxian,用Winhex将“.dll”与Ilove之间的空格换为00的ASCII码,保存后再用NC配合管道符提交。

第四招:非法Unicode编码

UTF-8编码允许字符集包含多余256个字符,因此也就允许编码位数多于8位。“/”字符的十六进制的ASCII码是2F,用二进制数表示就是00101111。UTF-8格式中表示2F的标准方法仍然是2F,但是也可以使用多字节UTF-8来表示2F。

第五招:加入虚假路径

在URL中加入“/”字符串后,在该字符串后的目录就没有了意义,作废了。因此利用“/”字符串可以达到扰乱了识别标志分析引擎、突破IDS的效果!

第六招:插入多斜线

我们可以使用多个 “/”来代替单个的“/”。这种方法可以绕过某些IDS。

第七招:使用路径分隔符“”

对于像微软的IIS这类Web服务器,““也可以当“/”一样作为路径分隔符。有些IDS在设置规则集文件时并没有考虑到非标准路径分隔符“”。

第八招: 多余编码法

多余编码就是指对字符进行多次编码。比如“/”字符可以用%2f表示,“%2f”中的“%”、“2”、“f”字符又都可以分别用它的ASCII码的十六进制来表示,根据数学上的排列组合的知识可知,其编码的形式有2的3次方,于是“%2f”可以改写为:“%25%32%66”、“%252f”等等来实现URL的多态,编码后的字符串可能没被收集在IDS的规则集文件中,从而可以骗过有些IDS。

第九招:综合多态编码

所谓综合,就是把以上介绍的几种多态变形编码技术结合起来使用,这样的话效果会更好。

齐士忠
1年前

检测网络攻击行为方法如下:

  • 使用任务管理器和性能监测器发现服务器异常;

  • 使用TCP/IP工具和网络监视器检查网络通信;

  • 使用事件察看器检查异常的帐号活动利用Web服务器或防火墙日志找出攻击来源;

  • 利用第三方工具;

  • 判断网络数据包的源地址和目标地址是否相同;

  • 检测单位时间内收到的SYN连接是否超过系统设定的值。