سيستمهاي كشف مزاحمت (IDS) یا Intrusion Detection System
سيستمهاي كشف مزاحمت كه IDS ناميده مي شود، برنامه ايست كه با تحليل ترافيك جاري بصورت هوشمند شبكه يا تحليل تقاضاها سعي در شناسايي فعاليتهاي نفوذگر مي نمايد و در صورتيكه تشخيص داد ترافيك ورودي به يك شبكه يا ماشين
از طرف كاربران مجاز و عادي نيست بلكه از فعاليتهاي يك نفوذگر ناشي مي شود به نحو مناسب مسئول شبكه را در جريان مي گذارد يا يك واكنش خاص نشان مي دهد . در حقيقت IDS نقش آژير دزدگير شبكه را ايفا مي نمايد .
در اين بخش پس از بررسي عملكرد IDS در سطوح مختلف، روشهاي فرار نفوذگر از آنرا نيز بررسي خواهيم كرد .سيستم IDS در دو سطح لايه شبكه و لايه كاربرد عمل مي كند و مكانيزم هر يك با ديگري متفاوت است.
عملكرد سيستم IDS مبتني بر لايه شبكه:
در اين نوع سيستم كشف مزاحمت IDS ،تمام بسته هاي IP وارد به شبكه محلي را دريافت ، جمع آوري و پردازش مي كند و پس از تحليل بسته ها ، بسته هاي معمولي و بسته هاي مزاحم متعلق به نفوذگر را تشخيص
مي دهد.IDS بايد انبوهي از بسته هاي IP و محتويات آنها شامل بسته هاي TCP,UDP را مرتب كرده و بروز واقعي يك حمله را بدهد .
بطور معمول سيستمهاي IDS يك بانك اطلاعاتي از الگوي حملات مختلف در اختياردارندبه اين بانك اطلاعاتي ، بانك ويژگيها امضاي حمله و ATTACK SIGNATURE & FEATURES گفته مي شود در حقيقت اكثر سيستمهاي IDS تحليلهاي خود را تطابق الگوهاي حمله با ترافيك موجود در شبكه متمركز كرده اند و هرگاه الگوي ترافيكجاري درشبكه با ويژگي يكي از حملات منطبق باشد يك حمله گزارش خواهد شد .لذا نفوذگر براي فراراز IDS ، سعي ميكند به روشهاي مختلف مراحل حمله را به گونه اي سازماندهي كند كه IDS انرا ترافيك معمولي وطبيعي بپندارند .وقتي حمله اي كشف شود ،سيستم IDS با ارسال E-MAIL ،سيستم پي جو ((PAGER يا به صدا در آوردن بوق آژير آنرا به اطلاع مسئول شبكه مي رساند ودرعين حال به تعقيب حمله ادامه مي دهد.
در اين شكل سيستم IDS بر حين نظارت بر ترافيك شبكه،متوجه تلاش براي ارتباط با پورتهاي 83و 23 شده است .اين سيستم تلاش براي برقراري ارتباط TCP با پورت 80 را عادي تلقي مي كندولي تلاشهاي متوالي براي برقراري ارتباط با پورت 23( مربوط TELNET ) رااصلا طبيعي نمي دانندوآنرا به عنوان علائم يك حمه گزارش مي كند .يامثلا سيستم IDS با تحليل جريان بسته هاي IP متوجه مي شود چند هزار بسته SYNبا فيلد SOURCE IP يكسان وباشماره هاي مختلف پورت به شبكه ارسال شده است؛ اين مسئله قطعا علامت بروز يك حمله است.
حال بايد ديدنوذ گر به چه نحوي تلاش مي كند از IDS مبتني بر لايه شبكه فراركند. نفوذگر از مكانيزمهاي زير براي فرار IDS ((IDSEVASION بهره مي گيرد:
1-ترافيك ارسالي به شبكه هدف بگونه اي تنظيم مي شودكه با الگوي هيچ حملهاي تطابق نداشته باشد .در چنين حالتي ممكن است نفوذگر از برنامه نويسي استفاده كند چرا كه ابزارهاي موجود الگوي حمله شناخته شده اي دارند.
2-بسته هاي ارسالي به يك شبكه بگونه اي مي شوند كه عملكرد دقيق آن فقط در ماشين نهائي (HOST ) مشخص شود.
براي روشن شدن نكات ابهام در روشهاي فوق به چندمثال عملي خواهيم پرداخت:
با توجه به اينكه يك بسته IP مي تواند بصورت يك سلسله از قطعات كوچكتر كوچكتر شكيته شود .هر بسته شكسته شده سرايند بسته IP را به همرا دارد . قطعات مختلف از طريق شبكه ارسال شده و نهايتا در ماشين مقصد بازسازي خواهند .وقتي سيستم IDS با بسته هاي قطعه قطعه شده IP مواجه شد بايد همانند ماشين نهايي آنها را دريافت و بازسازي كند .نفوذگر مي تواند بسته هاي IP را در قطعات بسيار كوچك شكسته و آنها را ارسال كند .در ضمن براي فلج كردن IDS ،بسته هاي IP بسيار زيادي در لابلاي بسته هاي حمله ارسال كند.IDS بايد بافر زيادي داشته باشد تا بتواند ضمن بازسازي قطعات شكسته شده ،درون آنها به جستجو الگوي حمله بپردازد. تا تابستان سال 2000 تقريبا هيچ سيستم IDS وجود نداشت كه قادر به بازسازي قطعات بسته هاي IP باشد لذا هر نفوذگري با قطعه قطعه كردن بسته ها ي IP از سيستم IDS قرار مي كرد.
چه كسى روى شبكه شماست؟
D. F. Tweney CIO نويسنده:
+ نوشته شده در یکشنبه هشتم شهریور ۱۳۸۸ ساعت 21:4 توسط مسعود اسفندیاری
|