在下面的测试中，我们将使用IDS系统是Snort，版本1.8.2。这可是大名鼎鼎的开放源代码的IDS系统，在它的说明中，被描述为一个轻量级的，可跨平台工作的入侵检测系统，在2001年12月英国的独立测试实验室NSS的评测中，击败了包括商用IDS系统的所有对手，这些商用软件可是包括 ISS，CISCO SECURE IDS，CA ETRUST，CYBERSAFE CENTRAX，NFR。有兴趣的读者还可以看这篇名为Open source mounts IDS challenge 的报道。

　　好，对Snort的大致介绍完毕，我们来看看结果吧，Snort对整个试验过程抓获的数据包产成了告警，如下:

　　[**] WEB-MISC whisker splice attack [**]

　　12/02-14:42:54.389175 client.yiming.com:51767-> server.yiming.com:80

　　TCP TTL:251 TOS:0x0 ID:3327 IpLen:20 DgmLen:42 DF

　　***AP*** Seq: 0x49CA0BA7 Ack: 0x5FD4DCE3 Win: 0x2238 TcpLen: 20

　　=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
[**] WEB-MISC whisker splice attack [**]

　　12/02-14:43:03.195006 client.yiming.com:51767 -> server.yiming.com:80

　　TCP TTL:251 TOS:0x0 ID:3439 IpLen:20 DgmLen:41 DF

　　***AP*** Seq: 0x49CA0C20 Ack: 0x5FD4DCE3 Win: 0x2238 TcpLen: 20

　　=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

　　[**] WEB-MISC whisker splice attack [**]

　　12/02-14:43:04.630268 client.yiming.com:51768-> server.yiming.com:80

　　TCP TTL:251 TOS:0x0 ID:3496 IpLen:20 DgmLen:41 DF

　　***AP*** Seq: 0x49CA0C4E Ack: 0x5FD4DCE3 Win: 0x2238 TcpLen: 20

　　=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+我们看到snort对抓获的数据包产生了WEB-MISC whisker splice attack的告警，然而这种攻击并没有发生，同时snort对tunnel数据包没有察觉。这样snort就同时出现了IDS系统的两个问题， false positive，false negative。

　　这也很正常，因为这也是基于签名的IDS系统的通病，目前决大数 IDS系统包括著名的商用软件ISS,NFR等都是基于签名的，也就是说系统维护着一套特定攻击数据包的数据模式签名。系统工作时，检查经过的数据包的内容，和自己数据库内数据模式签名对比，如果和某种攻击模式签名相同，那么就判断发生了某种攻击。

　　由此我们可以看出很明显的存在若干问题:如对签名的依赖不可避免的导致两个结果，false negative ,false positive。也就是说会产生漏报和误报，这一点很容易理

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页