本文针对入侵检测系统的漏洞来了解一下黑客的入侵手法。一旦安装了网络入侵检测系统，网络入侵检测系统就会为你分析出网上出现的黑客攻击事件，而且你能用此入侵检测系统的反击功能，即时将这种联机猎杀或阻断。你也可以配合防火墙的设置，由入侵检测系统自动为你动态修改防火墙的存取规则，拒绝来自这个IP 的后续联机动作！这种美好的“前景，可能是许多入侵检测系统提供商的惯用销售手法，一般的企业或组织在建立自己的入侵检测系统时也会有这种预期目的。诚然，入侵检测系统可以具有很好的监视及检测入侵的能力，也可以对企业或组织的安全提供很好的协助。但是，正如小偷的手法会随着锁的设计而不断“更新一样，随着入侵检测系统的出现，许多针对网络入侵检测系统的规避手法也随之不断“升级。如今，黑客对于入侵检测系统已经有了一套较完整的入侵手法。下面我们将针对入侵检测系统的漏洞来了解一下黑客的入侵手法。

一、识别方式的设计漏洞

1.对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串，是大部分网络入侵检测系统都会采取的一种方式。例如，在早期Apache Web服务器版本上的phf CGI程序，就是过去常被黑客用来读取服务器系统上的密码文件(/etc/passWord)，或让服务器为其执行任意指令的工具之一。当黑客利用这种工具时，在其URL request请求中多数就会出现类似“GET /cgi-bin/phf?.....的字符串。因此许多入侵检测系统就会直接对比所有的URL request 中是否出现/cgi-bin/phf 的字符串，以此判断是否出现phf 的攻击行为。

2.这样的检查方式，虽然适用于各种不同的入侵检测系统，但那些不同的入侵检测系统，因设计思想不同，采用的对比方式也会有所不同。有的入侵检测系统仅能进行单纯的字符串对比，有的则能进行详细的TCP Session重建及检查工作。这两种设计方式，一个考虑了效能，一个则考虑了识别能力。攻击者在进行攻击时，为避免被入侵检测系统发现其行为，可能会采取一些规避手法，以隐藏其意图。例如：攻击者会将URL中的字符编码成%XX 的警惕6进值，此时“cgi-bin就会变成“%63%67%69%2d%62%69%6e，单纯的字符串对比就会忽略掉这串编码值内部代表的意义。攻击者也可以通过目录结构的特性，隐藏其真正的意图，例如：在目录结构中，“./代表本目录，“../代表上层目录，Web服务器 可能会将“/cgi-bin/././phf、“//cgi-bin//phf、“/cgi-bin/blah/../phf?这些URL request均解析成“/cgi-bin/phf，但单纯的入侵检测系统可能只会判断这些request是否包含“/cgi-bin/phf的字符串，而没有发现其背后所代表的意义。

3.将整个request在同一个TCP Session中切割成多个仅内含几个字符的小Packet，网络入侵检测若没将整个TCP session重建，则入侵检测系统将仅能看到类似“GET、“/cg、“i、“-bin、“/phf的个别Packet，而不能发现重组回来的结果，因为它仅单纯地检查个别Packet是否出现类似攻击的字符串。类似的规避方式还有IP Fragmentation Overlap、TCP Overlap 等各种较复杂的欺瞒手法。

二、“猎杀及重调安全政策的漏洞

所谓“猎杀，就是在服务器中设定一个陷阱，如有意打开一个端口，用检测系统对其进行24小时的严密盯防，当黑客尝试通过该端口入侵时，检测系统就会及时地将其封锁。网络入侵检测系统的“猎杀及重新调整防火墙安全政策设置功能，虽然能即时阻断攻击动作，但这种阻断动作仅能适用TCP Session，要完全限制，就必须依赖重新调整防火墙安全政策设置的功能，同时也可能造成另一种反效果：即时阻断的动作会让攻击者发现IDS的存在，攻击者通常会寻找规避方式，或转向对IDS进行攻击。重新设置防火墙的安全政策，若设置不当，也可能造成被攻击者用来做阻断服务(Denial of Service)攻击的工具：经过适当的设计，若网络入侵检测的检查不足，攻击者可以伪装成其他的正常IP来源进行攻击动作，入侵检测系统若贸然限制这些来源的IP，将会导致那些合法用户因攻击者的攻击而无法使用。论是识别方式的设计，还是所谓的“猎杀及重新设置防火墙安全政策的设置功能，都有其利弊。能够实地了解入侵检测系统的识别方式，或进行其识别手法的调整，将有助于提高入侵检测系统运作的正确性。对“猎杀及重新调整防火墙安全政策设置功能工具的使用，则应仔细评估其效益与相应的损失，这样才能有效地发挥网络入侵检测系统的功能。

　　今天,随着计算机的广泛应用和网络的流行,越来越多的单位和部门开始引入计算机网络管理,从而相应的需要更多的优秀网管.已有几"脑龄"的你是不是也有成为网管的雄心壮志?在你成为一名合格的网管前,你必须先把下面的十个问题弄清楚。如果连这些最基本的网管知识你都不具备的话,那你怎么能不补这堂课呢?

★计算机网络是什么?

这是首先必须解决的一个问题,绝对是核心概念.我们讲的计算机网络,其实就是利用通讯设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式及网络操作系统等)实现网络中资源共享和信息传递的系统。它的功能最主要的表现在两个方面:一是实现资源共享(包括硬件资源和软件资源的共享);二是在用户之间交换信息。计算机网络的作用是:不仅使分散在网络各处的计算机能共享网上的所有资源,并且为用户提供强有力的通信手段和尽可能完善的服务,从而极大的方便用户。从网管的角度来讲,说白了就是运用技术手段实现网络间的信息传递,同时为用户提供服务。

★计算机网络由哪几个部分组成?

计算机网络通常由三个部分组成,它们是资源子网、通信子网和通信协议.所谓通信子网就是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分,负责全网络面向应用的数据处理工作;而通信双方必须共同遵守的规则和约定就称为通信协议,它的存在与否是计算机网络与一般计算机互连系统的根本区别。所以从这一点上来说,我们应该更能明白计算机网络为什么是计算机技术和通信技术发展的产物了。

★计算机网络的种类怎么划分?

现在最常见的划分方法是:按计算机网络覆盖的地理范围的大小,一般分为广域网(WAN)和局域网(LAN)(也有的划分再增加一个城域网(MAN))。顾名思义，所谓广域网无非就是地理上距离较远的网络连接形式,例如著名的Internet网,Chinanet网就是典型的广域网。而一个局域网的范围通常不超过10公里,并且经常限于一个单一的建筑物或一组相距很近的建筑物.Novell网是目前最流行的计算机局域网。

★计算机网络的体系结构是什么?

在计算机网络技术中,网络的体系结构指的是通信系统的整体设计,它的目的是为网络硬件、软件、协议、存取控制和拓扑提供标准.现在广泛采用的是开放系统互连OSI(Open System Interconnection)的参考模型,它是用物理层、数据链路层、网络层、传送层、对话层、表示层和应用层七个层次描述网络的结构.你应该注意的是,网络体系结构的优劣将直接影响总线、接口和网络的性能.而网络体系结构的关键要素恰恰就是协议和拓扑。目前最常见的网络体系结构有FDDI、以太网、令牌环网和快速以太网等。

★计算机网络的协议是什么?

刚才说过网络体系结构的关键要素之一就是网络协议。而所谓协议(Protocol)就是对数据格式和计算机之间交换数据时必须遵守的规则的正式描述，它的作用和普通话的作用如出一辙。依据网络的不同通常使用Ethernet(以太网)、NetBEUI、IPX/SPX以及TCP/IP协议。Ethernet是总线型协议中最常见的网络低层协议,安装容易且造价便宜;而NetBEUI可以说是专为小型局域网设计的网络协议。对那些无需跨经路由器与大型主机通信的小型局域网,安装NetBEUI协议就足够了,但如果需要路由到另外的局域网,就必须安装IPX/SPX或TCP/IP协议.前者几乎成了Novell网的代名词,而后者就被著名的Internet网所采用.特别是TCP/IP(传输控制协议/网间协议)就是开放系统互连协议中最早的协议之一,也是目前最完全和应用最广的协议,能实现各种不同计算机平台之间的连接、交流和通信。

★计算机网络的拓扑结构是什么?

计算机网络的拓扑结构是指网络中各个站点相互连接的形式,在局域网中明确一点讲就是文件服务器、工作站和电缆等的连接形式.现在最主要的拓扑结构有总线型拓扑、星型拓扑、环型拓扑以及它们的混合型。顾名思义,总线型其实就是将文件服务器和工作站都连在称为总线的一条公共电缆上,且总线两端必须有终结器;星型拓扑则是以一台设