黑客针对缓冲区溢出绕过IDS的方式

IDS作为企业安全防护的重量级产品，自然也成为了黑客试图攻破的目标。事实证明，绕过IDS防护进行攻击是完全可以实现的，接下来的文章里就将简述黑客攻击时如何通过针对缓冲区溢出绕过IDS。

发展壮大离不开广大客户长期以来的信赖与支持，我们将始终秉承“诚信为本、服务至上”的服务理念，坚持“二合一”的优良服务模式，真诚服务每家企业，认真做好每个细节，不断完善自我，成就企业，实现共赢。行业涉及办公窗帘等，在成都网站建设公司、成都全网营销推广、WAP手机网站、VI设计、软件开发等项目上具有丰富的设计经验。

一些NIDS检测远程缓冲区的主要方式是通过判断数据包的内容是否包括/bin/sh或者是否含有大量的NOP。针对IDS的这种检测办法，有的溢出程序的NOP考虑到用eb 02 代替，但这种方式目前也已经成为一些NIDS检测是否为缓冲区溢出时匹配的标志。

不过，k2先生又写了一个加密shellcode的程序ADMmutate，利用了名为多形态代码的技术，使攻击者能够潜在的改变代码结构来欺骗许多入侵检测系统，但它不会破坏最初的攻击性程序。溢出程序经它一改，就可以摇身一变，而且由于采用了动态改变的技术，每次伪装的shellcode都不相同,本来NIDS依靠提取公开的溢出程序的特征码来检测报警，特征码变了后就可以达到绕过IDS的目的。

伪装前的shellcode格式为： [NNNNNNNNNNNNN][SSSS][RRRR]

伪装后的shellcode格式为： [nnnnnnn][dddd][ssss][rrrr]

其中：N表示NOP，S表示shellcode，R表示返回地址； n表示经过编码的NOP，d为解码器，s表示经过编码的shellcode，r表示返回地址。

经过ADMmutate伪装的shellcode可以逃过使用模式匹配并且利用字符串匹配的大部分NIDS！不过如果NIDS还依靠长度，可打印字符等等综合判断，则ADMmutate还是不能逃脱NIDS的监视，但是依靠长度、可打印字符等判断未必准确，以此判断会造成IDS漏报或误报。不过，对于使用模式匹配的NIDS来说，目前仍只能通过长度等简单的判断！

本文标题：黑客针对缓冲区溢出绕过IDS的方式
网页网址：http://www.shufengxianlan.com/qtweb/news3/16353.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联