Chương 8: Kiểm tra các trường của IP header

Đây là một trong hai chương kiểm tra các trường trong gói IP. Chương này tập trung vàocác trường header của IP, nhưng ở chương tiếp theo xem xét các trường trong giao thức đượcgán vào header. Vậy chúng ta tiếp tục quá trình xem xét lưu lượng từ nhiều yếu tố khác nhau,chúng ta có thể thừa nhận một cái nhìn tổng quan khác để xem xét chức năng của các trườngtrong những header và tìm kiếm những giá trị thông thường và không bình thường trong cácheader đó....
Nội dung trích xuất từ tài liệu:
Chương 8: Kiểm tra các trường của IP header Chương 8. Kiểm tra các trường của IP header Đây là một trong hai chương kiểm tra các trường trong gói IP. Chương này tập trung vàocác trường header của IP, nhưng ở chương tiếp theo xem xét các trường trong giao thức đượcgán vào header. Vậy chúng ta tiếp tục quá trình xem xét lưu lượng từ nhiều yếu tố khác nhau,chúng ta có thể thừa nhận một cái nhìn tổng quan khác để xem xét chức năng của các trườngtrong những header và tìm kiếm những giá trị thông thường và không bình thường trong cácheader đó. Nếu chúng ta biết rõ ý nghĩa của các trường và quen thuộc với các giá trị thôngthường, chúng ta cần phải có kĩ năng để phát hiện kết quả thay đổi hoặc các giá trị có hại.Khi bạn bắt đầu xem xét đầu ra của NIDS hoặc thậm chí kết xuất đầu ra TCP trên một cơ sởthông thường, những kiến thức này tỏ ra rất có ích cho việc phát hiện vấn đề các gói tin hoặcnhận ra các tính chất của lưu lượng bất thường.Lưu lượng-traffic: Khôi lượng cac thông bao gởi qua môt mang truyên thông. ́ ́ ́ ̣ ̣ ̀Sự chèn vào và tránh các tấn công Trước khi chúng ta xem xét các trường cụ thể trong IP header, chúng ta sẽ đề cập đếncác kiểu tấn công, chúng có thể ngăn chặn bởi khả năng của NIDS để phát hiện các hoạt độngcó hại. Như việc chúng ta kiểm tra các trường trong datagram, chúng ta sẽ chèn vào một cáchhợp lý hoặc tránh các tấn công, chúng có thể thực hiện bằng việc thao tác với các giá trị củatrường nào đó. Có một bài báo được viết vào năm 1998 được gọi: “Insertion, Evasion, and Denial ofService: Eluding Network Intrusion Detection”- (việc chèn, việc tránh và sự từ chối dich vụ: bỏqua phát hiên xâm nhập mạng). Tác giả Thomas Ptacek và Timothy Newsham tranh luận các tấncông có thể tránh việc phát hiện bởi NIDS bằng việc sử dụng phương thức của việc gửi lưulượng, đây sẽ là lí do giải thích sự khác nhau của các gói tin giữa NIDS và host đích. Bài báo nàylà một luận án xuất sắc của một thực tế khác đó có thể là nguyên nhân cho một NIDS khôngthích hợp cho việc phân tích khả năng lưu lượng có hại. Các tác giả đã bị kiểm soát bằng mộtvài thử nghiệm khác nhau bởi sự phản đối của NIDS để chứng minh lý luận của mình. Cùng với việc phủ nhận dịch vụ của NIDS, bài báo cơ bản tranh luận về các ý kiến củanhững tấn công cá nhân làm cho NIDS lúng túng. Đầu tiên được biết qua bài báo. Đây là nơi kẻtấn công gửi lưu lượng tới một host đích. Gửi một hoặc nhiều gói tin được truy cập hoặc quansát bởi NIDS, cho đến bây giờ nó chưa bao giờ tiếp cận được host đích; hoặc điều này có thìđích bị bỏ đi, nó coi là không hoàn hảo. Ý kiến cá nhân của các tác giả chỉ ra đánh giá lưu lượngkhác nhau giữa NIDS và host đích hoặc thâm chí có thể quan sát lưu lượng khác nhau. Một cuộc tấn công thứ hai được biết là trốn tránh. Bao hàm ý kiến giống nhau của việcgửi lưu lượng tới một host đích. Mặc dù host đích quan sát cùng một lưu lượng như NIDS, nóxem xét kĩ lưỡng các gói tin khác nhau hơn NIDS. Có lẽ NIDS loại đi một hoặc nhiều gói tin,nhưng host đích thì chấp nhận chúng. Hơn nữa, NIDS và host đích quan sát lưu lượng khác nhau.Mặc dù giới hạn không được chấp nhận nêu ra một số ngữ nghĩa học đặc biệt khi được so sánhvới các hoạt động của thiết bị lọc gói tin, nó là thuật ngữ chuyên ngành được sử dụng trongchính bài báo đó. Tránh tấn công thành công bởi vì NIDS không có khả năng phân tích các gói tinhoặc dữ liệu trong các gói như host đích làm, cho phép host đích quan sát một gói tin hoặc dữliệu điều mà NIDS không làm được.Vấn đề chèn những tấn công Khảo sát về tấn công có thể của bài báo trong công việc như thế nào, chúng ta có mộtNIDS trên một mạng khác, ví dụ như DMZ đang tìm kiếm những chữ kí có thể đưa ra một vàivấn đề hoặc lưu lượng đáng chú ý. Một trong những chữ kí đó có thể để tìm kiếm lưu lượngtới telnet, TCP ở cổng 23, với một nội dung của REWT như một dấu hiệu của một số trươngmục cổng sau tới telnet. Hiện nay, chúng ta có một kẻ tấn công vẫn còn chưa bị phát hiện trong các thiết bị mộtTroạn telnet trên một host đích và mong muốn hiện nay là nối máy để host đó sử dụng tài khoảnREWT. Kẻ tấn công có thể thực hiên một vài cuộc thăm dò trên mạng chúng ta và quen thuộcvề topology mạng và các hoat động hơn chúng ta biết. Điều này có thể xảy ra với kẻ tấn côngđể tránh các thông báo của NIDS nếu anh ta có thể làm cho NIDS chấp nhận một gói tin, ở hostcuối cùng gói tin có thể không được chấp nhận hoặc không bao giờ quan sát được. Trong hình 8.1, kẻ tấn công gửi 3 gói tin khác nhau được trù định từ trước cho TCP cổng23 của host đích, với mỗi một hoặc nhiều kí tự trong lượng chuyển đi. Nội dung đầu tiên là kítự R, cả NIDS và host nhân cuối cùng xem xét và chấp nhận. thứ hai là kí tự O gửi đi thì có mộtTCP checksum lỗi. Checksums xác nhân tính hợp lệ toàn vẹn của gói tin và nếu chúng khônghợp lệ thì gói tin bị hủy. Chúng ta nói về việ ...