利用“http暗藏通道”大举攻破局域网

核心提示： 此外，基于签名的IDS系统本身有可能由于依据签名这一特性而被攻击，利用“http暗藏通道”大举攻破局域网(7)，一个例子是stick ，这个程序的作者利用IDS系统进行签名匹配工作原理，仔细观察截获的httptunnel数据包，可以发现紧跟着三次握手完成后的第一个数据包包含着一个POST动

此外，基于签名的IDS系统本身有可能由于依据签名这一特性而被攻击，一个例子是stick ，这个程序的作者利用IDS系统进行签名匹配工作原理，发送大量带有攻击特征的数据包给IDS系统，使IDS系统本身处理能力超过极限，从而导致IDS系统无法响应。按照作者Coretez Giovanni的说法，运行2秒钟stick就能使著名的商用IDS系统ISS real secure崩溃。由上我们看到，对IDS系统的完全依赖同样是有风险的。

一些解决思路

看来依靠手头的IDS是无法察觉这种行为了，那么有其它办法吗?我们仔细分析一下事件过程中截获的httptunnel数据包再说吧。

仔细观察截获的httptunnel数据包，可以发现紧跟着三次握手完成后的第一个数据包包含着一个POST动作，是由htc(client端)发送到hts(server端)的。如下:

14:55:39.128908 client.yiming.com.51767 > server.yiming.com.80: S 3521931836:3521931836(0) win 8760 (DF)

0x0000 4500 002c d3cc 4000 fb06 53c9 xxxx xxxx　　　　E..,..@...S..f.#

0x0010 yyyy yyyy ca37 0050 d1ec 6a3c 0000 0000　　　　.f.D.7.P..j<....

0x0020 6002 2238 1708 0000 0204 05b4 0000　　　　　　 `."8..........

14:55:39.128945 server.yiming.com.80 > client.yiming.com.51767: S 2946004964:2946004964(0) ack 3521931837 win 8760 (DF)

0x0000 4500 002c cb85 4000 ff06 5810 yyyy yyyy　　　　E..,..@...X..f.D

0x0010 xxxx xxxx 0050 ca37 af98 77e4 d1ec 6a3d　　　　.f.#.P.7..w...j=

0x0020 6012 2238 ef79 0000 0204 05b4　　　　　　　　 `."8.y......

14:55:39.131002 client.yiming.com.51767 > server.yiming.com.80: . ack 1 win 8760 (DF)