IDS(Intrusion Detection System)

入侵檢測系統，對網路與系統的運行狀況進行監測，識別是否有惡意行為。

IDS如何辨識intrusion(入侵)

• Signature recognition(特徵辨識)
• anomaly detection(異常檢測)
• protocol anomaly detection

types of IDS(IDS部屬的類型)

1. Network-based IDS(就是裝在網路上監控整個網路)
2. Host-based IDS(裝在本機，監控自己)

types of IDS Alerts

就其實只是排列組合，前面是 是否被攻擊(自己測試不算)，後面是 是否真的漏洞或警告

• True Positive –> Attack – Alert 
• False Positive –> No Attack – Alert 
• False Negative –> Attack – No Alert (最慘)
• True Negative –> No Attack – No Alert 

firewall功能

• Packet Filtering (在OSI第三層 network層，TCP的internet層)只看IP跟port
• Circuit Level Gateways(在OSI 第四層session層TCP transport層)
• Application Level Firewall-(在OSI第五application層)監視每個協定，提供更高的安全
• Stateful Multilayer Inspection(OSI network層)分析傳入流量並尋找潛在流量和數據風險的同時跟踪和監控活動網絡連接狀態的防火牆，可以檢測未經授權的個人訪問網絡的嘗試，並分析數據包中的數據以查看它們是否包含惡意代碼。什麼是狀態防火牆？
• Application proxy
• VPN

SNORT

他是開源的network intrusion detection system (NIDS).

語法是 alert tcp any any -> 192.168.1.0/24 111

第一個action有alert Log pass三種

第二個ip 協定有tcp udp ICMP三種

方向只有兩種 一個是-> 另一個是雙向的<> 沒有<-

中間ip跟port應該很好看的出來 any any就是任何ip任何port

192.168.1.0/24 111就是192.168.1的段 在111port上

Honeypot工具

KFSensor跟SPECTER

evading IDS

閃躲方式有很多種(課本有18種)

1.排列組合式的攻擊

主要有兩種，一種是insertion attack另一種是Evasion 。主要是利用把攻擊封包切成好幾個分開送，並利用timeout的時間差來閃過

insertion attack就是多傳一些垃圾封包過去，例如傳送1234個封包，只有24有用13沒用，但是timeout時間差(或是ttl直接設定剩下1)，讓垃圾封包只有在IDS上收到(假如IDS timeout比較久)讓他組合起來跟預期的不一樣

Evasion 就是相反，IDS的timeout太快了，所以我封包送慢一點就可以了

2.非法的RST封包

3.URG Flag

4.ASCII Shellcode

5.Application-Layer Attacks(透過影音檔去compress壓縮他們，就是小時候常玩的那個透過圖片藏後門程式)

2.Session Splicing

把攻擊的封包拆成好幾個小的封包，讓每個封包都可以避開字串偵測，可以利用工具Whisker(考)

3.Unicode Characters evasion 

這個有考，透過字串的重新編碼來混淆(Obfuscating) IDS，例如ansii改Utf8 utf16 base64等等

firewall evading

共有15個…

1. port scanning
2. firewalking-(考)藉由 send一些pakcet看port是否被阻擋,tool有firewalk
3. Banner Grabbing-確定遠程目標系統上運行的操作系統的方法
4. use proxy server
5. ICMP/ACK/HTTP/DNS Tunneling
6. ssh
7. MITM attack
8. xss
9. source routing

參考文章

Evading IDS, Firewalls and Honeypots

CEH Scanning Methodology – Banner Grabbing