踏雪无痕浅析黑客避开检测的手段

　2006-11-07 20:09:40　来源：WEB开发网　　　

核心提示： 　　[root@localhost]# nc -n 10.0.2.55 80　　GET /%6D%73%61%64%63 HTTP/1.0　　IIS的日志文件显示：　　07:10:39 10.0.2.31 GET /msadc/ 302　　应当注意的是，虽然采用了十六进制编码的手段，踏雪无

　　[root@localhost]# nc -n 10.0.2.55 80

　　GET /%6D%73%61%64%63 HTTP/1.0

　　IIS的日志文件显示：

　　07:10:39 10.0.2.31 GET /msadc/ 302

　　应当注意的是，虽然采用了十六进制编码的手段，但是所产生的日志和没有使用十六进制编码的URL产生的是一样的。所以在这个例子里，编码并没有帮助攻击者逃避检测。但是，如果我们看看看Apache的日志情况，那么就是另外一个情形了。以下列出了攻击者使用来搜索某个CGI脚本的命令，后面跟着的是使用十六进制编码以后的同样命令:

　　[root@localhost]# nc -n 10.0.0.2 80

　　HEAD /cgi-bin/test-cgi HTTP/1.0

　　[root@localhost]# nc -n 10.0.0.2 80

　　HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0

　　现在我们来查看一下access_log文件：

　　10.10.10.10 - - [18/Oct/2000:08:22:47 -0700] "HEAD /cgi-bin/test-cgi HTTP/1.0" 200 0

　　10.10.10.10 - - [18/Oct/2000:08:23:47 -0700] "HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0" 200 0

　　首先应注意到的是在这两个例子中都是200代码说明命令完成成功。但是在第二中情况中，日志中出现的是十六进制的值而不是明文的。如果我们是依赖于形式来对这种攻击进行检测的话，那么我们是不可能检测到所发生的攻击的。许多的入侵检测系统使用的格式匹配技术智能化都不高，并且有些产品不会将十六进制的URL转换过后进行匹配。但是不论所使用的入侵检测软件是否能够对十六进制的代码进行转换，所有的网络管理员都应当对这种伎俩有所了解。代理服务器

因为对攻击者而言完全隐藏攻击行为是很难做到的，所以掩盖攻击的真实来源也就成为相当重要的课题了。如果黑客可以隐藏他的源IP地址的话，那么他就可以在不用担心被抓住的情况下进行攻击。而黑客用来隐藏他们的源IP地址的一种手段就是使用代理服务器。