IDS逃避技术和对策
5.碎片和snort特征码
下面我们把上述攻击和某些snort特征码进行比较。对于.ida缓冲区溢出攻击,默认的snort特征码几乎无法捕获任何通过碎片发动的攻 击(如果使用了frag2预处理模块,snort可以截获碎片超时攻击)。下面是针对.ida缓冲区溢出攻击的snort检测规则:
| alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS ISAPI.ida attempt"; uricontent:".ida?"; nocase; dsize:>239; flags:A+;reference:arachnids,552; classtype:web-application-attack;reference:cve,CAN-2000-0071; sid:1243; rev:2;) |
