如何檢測網絡攻擊行為

可以利用入侵檢測系統，顧名思義，它是用來實時檢測攻擊行為以及報告攻擊的。

以下介紹九種IDS入侵檢測系統檢測攻擊行為方法：

第一招：“/./” 字符串插入法

鑒于“./”的特殊作用，我們可以把它插入進URL中來實現URL的變形。這種方法可以繞過Snort等IDS。

第二招：十六進制編碼

對于一個字符，我們可以用轉義符號“%” 加上其十六進制的ASCII碼來表示。但是這種方法對采用了HTTP預處理技術的IDS是無效的。

第三招：“00 ” ASCII碼

可以把/msadc/msadcs.dll改寫為/msadc/msadcs.dll Iloveheikefangxian，用Winhex將“.dll”與Ilove之間的空格換為00的ASCII碼，保存后再用NC配合管道符提交。

第四招：非法Unicode編碼

UTF-8編碼允許字符集包含多余256個字符，因此也就允許編碼位數多于8位。“/”字符的十六進制的ASCII碼是2F，用二進制數表示就是00101111。UTF-8格式中表示2F的標準方法仍然是2F，但是也可以使用多字節UTF-8來表示2F。

第五招：加入虛假路徑

在URL中加入“/”字符串后，在該字符串后的目錄就沒有了意義，作廢了。因此利用“/”字符串可以達到擾亂了識別標志分析引擎、突破IDS的效果！

第六招：插入多斜線

我們可以使用多個 “/”來代替單個的“/”。這種方法可以繞過某些IDS。

第七招：使用路徑分隔符“”

對于像微軟的IIS這類Web服務器，““也可以當“/”一樣作為路徑分隔符。有些IDS在設置規則集文件時并沒有考慮到非標準路徑分隔符“”。

第八招： 多余編碼法

多余編碼就是指對字符進行多次編碼。比如“/”字符可以用%2f表示，“%2f”中的“%”、“2”、“f”字符又都可以分別用它的ASCII碼的十六進制來表示，根據數學上的排列組合的知識可知，其編碼的形式有2的3次方，于是“%2f”可以改寫為：“%25%32%66”、“%252f”等等來實現URL的多態，編碼后的字符串可能沒被收集在IDS的規則集文件中，從而可以騙過有些IDS。

第九招：綜合多態編碼

所謂綜合，就是把以上介紹的幾種多態變形編碼技術結合起來使用，這樣的話效果會更好。

回答所涉及的環境：聯想天逸510S、Windows 10。