利用“http暗藏通道”大举攻破局域网

核心提示： TCP TTL:251 TOS:0x0 ID:3327 IpLen:20 DgmLen:42 DF***AP*** Seq: 0x49CA0BA7 Ack: 0x5FD4DCE3 Win: 0x2238 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

TCP TTL:251 TOS:0x0 ID:3327 IpLen:20 DgmLen:42 DF

***AP*** Seq: 0x49CA0BA7 Ack: 0x5FD4DCE3 Win: 0x2238 TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

[**] WEB-MISC whisker splice attack [**]

12/02-14:43:03.195006 client.yiming.com:51767 -> server.yiming.com:80

TCP TTL:251 TOS:0x0 ID:3439 IpLen:20 DgmLen:41 DF

***AP*** Seq: 0x49CA0C20 Ack: 0x5FD4DCE3 Win: 0x2238 TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

[**] WEB-MISC whisker splice attack [**]

12/02-14:43:04.630268 client.yiming.com:51768-> server.yiming.com:80

TCP TTL:251 TOS:0x0 ID:3496 IpLen:20 DgmLen:41 DF

***AP*** Seq: 0x49CA0C4E Ack: 0x5FD4DCE3 Win: 0x2238 TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

我们看到snort对抓获的数据包产生了WEB-MISC whisker splice attack的告警，然而这种攻击并没有发生，同时snort对tunnel数据包没有察觉。这样snort就同时出现了IDS系统的两个问题， false positive，false negative。

这也很正常，因为这也是基于签名的IDS系统的通病，目前决大数 IDS系统包括著名的商用软件ISS,NFR等都是基于签名的，也就是说系统维护着一套特定攻击数据包的数据模式签名。系统工作时，检查经过的数据包的内容，和自己数据库内数据模式签名对比，如果和某种攻击模式签名相同，那么就判断发生了某种攻击。

由此我们可以看出很明显的存在若干问题:如对签名的依赖不可避免的导致两个结果，false negative ,false positive。也就是说会产生漏报和误报，这一点很容易理解，当新出现一种攻击模式时，由于IDS系统内没有相应的数据签名，那么就不可能捕获相应的攻击数据包，false negative由此发生。同时，过于依赖签名模式也很容易误报，就象我们上面的例子。同时，对数据签名的依赖会在一定程度上降低系统性能-经过的数据包都需要和IDS系统的签名对照。