问编写绕过IPS检测的利用代码

EN

那得看情况。IDS可能检测到漏洞，也可能检测不到漏洞，这取决于它是否能够独立于利用有效负载检测漏洞本身的利用。

通常，IDS系统可以通过尝试识别攻击的有效负载(“利用代码”)或尝试识别漏洞的利用(向量本身)来检测攻击。如果修改有效负载，则可能会避免使用前一种签名样式检测，但不会使用后者。

您要求我们仅通过检测前者来假设IDSs工作，但这并不是IDSs在现实生活中实际工作方式的准确表示。换句话说，你要求做出一个实际上并不准确的假设。

您可能需要阅读有关IDS逃避攻击的内容。例如，见经典研究论文：

• 插入、规避和拒绝服务:逃避网络入侵检测，Ptacek和Newsham，1998年。
• 一种实时检测网络入侵者的系统，Paxson.计算机网络31(23-24)。最初发表于“Usenix Security 1998”。特别是见5.3节。
• 网络入侵检测:规避、流量规范化和端到端协议语义，Handley，Kreibich和Paxson。Usenix安全2001年。

最后，一般情况下，请记住，IDS从未保证检测到所有攻击。他们发现了一些攻击，但不是全部。他们远不是完美的防守。与往常一样，如果您可以选择修复漏洞本身，这是一个比依赖IDS检测漏洞的攻击更可靠的防御措施。

这些评论也适用于IPS系统(感谢@Everett指出这一点)。

您可能需要考虑像OSSec这样的基于主机的IPS。它适用于Linux、BSD、OS和Windows。这是为了分析对特定系统(安装了OSSec的系统)所做的操作。您仍然没有得到保证，但它比IDS高了一步。

in在通信量中查找模式，并且基于签名。如果利用漏洞不包含有效负载或不使用IDS正在寻找的流量模式，则该漏洞将通过。

因此，您可以看到，可能不需要有软件来更改漏洞以传递IDS。有时，简单地编码漏洞以排除某些字符可以工作。或者，加密通信量，以便IDS不能解析代码。

在最好的情况下，在您的测试环境中使用IDS，加载签名，然后启动您的攻击。查看哪些规则被击中，以及这些规则是如何编写的。这样，您就可以在您的开发代码中看到需要更改的内容。