Evading IDS, Firewalls and Honeypots

首先，要先了解什麼是IDS、Firewalls、Honeypot！
這章必考；但我沒有好好準備… T"T

IDS(Intrusion Detection System)

入侵檢測系統，對網路與系統的運行狀況進行監測，識別是否有惡意行為。
識別方式：

• 識別特徵碼：封包內容的特殊來源構成

• 異常行為：流量大，如DDos

• TCP/IP 封包內容

• IDS 類型

  • Newwork-Based(NIDS)：適用於網路節點的行為分析，黑箱偵測是否有 DDos 攻擊

  • Host-Base(HIDS)：主機形態檢測服務的完整性，監聽是否有異常行為(Monitor & Log & Alert)

    • 完整性檢查(System Integrity Verifiers,SIV)

防火牆(Firewalls)

在內部網路(Intranet)及網際網路(Internet)間的緩衝界面，存在中繼(Gateway)邊緣

• 堡壘主機(Bastion Host)

• 屏蔽子網(Screened Subnet)：緩衝區(DMZ)

• 雙重防火牆(Multi-homed Firewall)：兩個防火牆的緩衝區(DMZ)

• FireWall 類型

  • 封包過濾 Packet filters (OSI 3th)
  • 電路層中繼 Circuit Level Gateways (OSI 4th)
  • 應用程式中繼 Application Level Gateways (OSI 5,6,7th)
  • 多層狀態檢測防火牆Stateful Multilayer Inspection Firewalls(OSI 3,4,5,6,7th)

蜜罐(Honeypot)

誘捕機制，偽裝服務

• Snort Rules

繞過方式

• 識別特徵碼：特殊編碼，加密重組，規避特徵，封包分段(Fragmentation)
• 異常行為：剪裁封包內容，，減少流量
• TCP/IP 封包內容：Time To Live Attacks 組合錯誤，干擾封包