网络安全工程师揭秘：IDS/IPS防护原理与七大绕过思路

作为网络安全工程师，IDS/IPS防护原理及绕过思路如下： IDS/IPS防护原理： 1. 基于网络：通过连接在网络的站点捕获数据包，分析是否具有已知攻击模式。 2. 基于主机：通过分析系统审计数据来发现可疑活动，比如内存和文件的变化。 3. 信息收集：系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。 4. 数据分析：对收集到的信息进行深度分析，发现异常行为或者潜在的攻击模式。 5. 阻断能力：IPS一般也是在网络层旁路，可以理解为具备阻断能力的IDS，是IDS的升级版，可以覆盖网络层和应用层。 6. 众多的过滤器：IPS拥有众多的过滤器，能够防止各种攻击，检查2-7层，逐一字节进行检查。 7. 基于主机的入侵防护（HIPS）：通过在主机/服务器安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。 IDS/IPS绕过思路： 1. TCP分片：拆分出两个TCP包。 2. IP分片：原理同TCP分片，但是丢包严重。 3. 程序bug/性能问题：发送大量无效包，消耗IPS性能。 4. 伪造TCP状态：绕过基于状态追踪的IPS。 5. IPV6绕过：使用IPV6地址绕过。 6. json的csrf的利用：使用XMLHttpRequest、fetch构造出JSON请求，利用Flash的跨域与307跳转来绕过http自定义头限制。 7. 使用XML外部实体注入（XXE）：在应用程序解析XML数据时，如果存在外部实体引用，可能会导致应用程序崩溃或执行未经授权的代码。攻击者可以利用这一点来绕过某些安全机制。 ######[AI写代码神器 | 394点数解答 | 2023-11-09 18:38:57]