像目标主机一样的tcp流重组

介绍

在他们具有里程碑意义的1998年论文“插入，逃避和拒绝服务：躲避网络入侵检测”中，1 Thomas Ptacek和Timothy Newsham暴露了入侵检测系统（IDS）的一些弱点。作者表示，入侵检测系统不能有效和准确，因为它们不一定处理，甚至可能甚至不像接收消息的目标主机那样观察网络流量。

该缺陷存在于包括IP，TCP和应用层的分组的多个评估和处理层中。作为问题的示例，请考虑具有重叠发送到给定主机的TCP段的流量。由于不同的操作系统具有独特的TCP段重组方法，如果入侵检测系统使用单一的“一刀切”重组方法，它可能不会像目标主机那样重新组装和处理数据包。成功利用TCP重组中的这些差异的攻击可能导致IDS或入侵防御系统（IPS）错过恶意流量并且无法警告或阻止。

TCP重叠段攻击

值得注意的是，多年后，Ptacek / Newsham暴露出的许多问题仍然存在。 TCP重组难题的一个答案是精明的IDS / IPS，它可以识别IDS / IPS保护的主机上的操作系统和应用程序。术语“基于目标”被创造用于识别智能IDS或IPS，其被告知驻留在受保护网络上的主机，并且能够像在主机自身分析流量时分析发送到这些主机的流量。

这并没有解决Ptacek和Newsham所讨论的所有问题，但它确实提高了IDS / IPS的准确性。这可以消除关于无关警报的误报，例如绑定到Unix主机的Windows漏洞。同样，故意损坏的数据包不会欺骗IDS / IPS，因为它会像接收主机那样处理这些数据包。

类似地，重叠的IP片段给IDS / IPS带来了问题，因为IDS / IPS可能不会检查或尊重与目标主机相同的IP片段。然而，管理员可能能够配置IPS以丢弃任何重叠的IP片段。实际上，这应该对合法流量没有任何问题。然而，完全重叠的TCP段可能在正常流量中出现，作为未确认数据的重传。

那么只阻止部分重叠，因为它们可能是逃避企图？即使这不是万无一失的，因为使用TCP选项选择性确认的主机在重新传输它们时可能会“重新打包”多个连续丢失的数据包。如果仅从开始和结束TCP序列号的角度进行检查，这可能表现为部分重叠。这意味着任何IDS / IPS都必须使用与目标主机相同的策略重新组合重叠的TCP段。

开源IDS / IPS Snort已开始使用stream5和frag3预处理器实现基于目标的分析。Stream5能够使用与目标主机相同的策略重新组合重叠的TCP段。用户将Snort配置为针对各个主机或网络应用特定的TCP重组策略。然后，当Snort看到绑定到任何这些主机的重叠TCP段时，它知道要应用的适当重组策略 - 允许Snort和目标主机以相同方式重新组合段。这成功地排除了使用重叠TCP段的规避攻击。

攻击示例

假设IDS具有签名，该签名可警告当攻击者为FTP身份验证提供过长的用户名值时发生的缓冲区溢出攻击。例如，Snort具有以下规则来警告此类攻击：

此规则查找源自受保护网络之外并绑定到FTP命令端口的流量。
当到端口21的已建立的流包含以“USER”的内容开头且在后面的100个字节中没有换行符的有效载荷时，警报将触发。

此外，假设攻击者想要通过发送完全重叠的段来逃避IDS，其中TCP头包含相同的起始TCP序列号，但其有效载荷内容相差一个字符。
原始TCP段包含“USER”的内容;重叠段包含“XSER”的内容。
TCP / IP实现选择将原始段或后续段视为有效段并丢弃另一段。 Windows主机使用接受第一个段的策略，并忽略所有完全重叠的后续段。将后续段视为有效的IDS将错过针对Windows主机的攻击的IDS，因为它看到“XSER”而不是USER的内容。这是重叠TCP段的简单而整洁的说明;彻底分析必须考虑更多的复杂性，例如部分重叠的TCP片段和片段重叠的位置。

参考：《Target-based TCP Stream Reassembly》 Judy Novak, Steve Sturges 2007