作为网络安全工程师,IDS/IPS防护原理及绕过思路如下: IDS/IPS防护原理: 1. 基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。 2. 基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化。 3. 信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。 4. 数据分析:对收集到的信息进行深度分析,发现异常行为或者潜在的攻击模式。 5. 阻断能力:IPS一般也是在网络层旁路,可以理解为具备阻断能力的IDS,是IDS的升级版,可以覆盖网络层和应用层。 6. 众多的过滤器:IPS拥有众多的过滤器,能够防止各种攻击,检查2-7层,逐一字节进行检查。 7. 基于主机的入侵防护(HIPS):通过在主机/服务器安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。 IDS/IPS绕过思路: 1. TCP分片:拆分出两个TCP包。 2. IP分片:原理同TCP分片,但是丢包严重。 3. 程序bug/性能问题:发送大量无效包,消耗IPS性能。 4. 伪造TCP状态:绕过基于状态追踪的IPS。 5. IPV6绕过:使用IPV6地址绕过。 6. json的csrf的利用:使用XMLHttpRequest、fetch构造出JSON请求,利用Flash的跨域与307跳转来绕过http自定义头限制。 7. 使用XML外部实体注入(XXE):在应用程序解析XML数据时,如果存在外部实体引用,可能会导致应用程序崩溃或执行未经授权的代码。攻击者可以利用这一点来绕过某些安全机制。 [2023-11-09 18:38:57 | AI写代码神器 | 394点数解答]