㈠ IDS的主要功能有哪些
幾乎所有當前市場上的網路入侵檢測系統都是基於一種被動數據收集方式的協議分析
,我們可以預見,這種方式在本質上是有缺陷的。
毫無疑問,這樣的入侵檢測系統會監視整個網路環境中的數據流量,並且總是與一種
預定義的可疑行為模式來進行對照,甚至所謂的入侵行為分析技術也只是簡單地從單位時
間狀態事件技術上做了些組合工作,事實上離真正實用的復雜黑客入侵行為的剖析和理解
還有很遠的距離。
對於這種檢測技術的可靠性,我們可以通過自定義的三種可行性很強的攻擊方式來驗
證――插入攻擊、逃避攻擊和拒絕服務攻擊。我們可以看到,當一個入侵者實施了這樣的
入侵策略以後,所謂的入侵檢測系統便妥協了。我們的結論是這種入侵檢測系統不是放之
四海而皆準的,除非它們從根本上被重新設計過。
入侵檢測系統的作用及其功能
真正實用的入侵檢測系統的存在價值就是能夠察覺黑客的入侵行為並且進行記錄和處
理,當然,人們也會根據自己的需求提出需要強大的日誌記錄策略、黑客入侵誘導等等。
不同的入侵檢測系統存在不同的入侵分析特徵。一個企圖檢測Web入侵的系統可能只會
考慮那些常見的惡意HTTP協議請求;同樣道理,一個監視動態路由協議的系統可能只會考
慮網路是否存在RIP欺騙攻擊等等。目前國內市場上的大部分入侵檢測系統使用同一個入侵
行為定義庫,如著名的SNORT特徵庫,這說明我們在技術挖掘方面的投入還不夠,事實上我
國在基礎研究設施的投入上也存在嚴重不足。
入侵檢測系統現在已經成為重要的安全組件,它有效地補充和完善了其他安全技術和
手段,如近乎快過時的基於協議和埠的防火牆。入侵檢測系統為管理人員提供相應的警
告信息、報告可能發生的潛在攻擊,從而抵擋了大部分「只是對系統設計好奇」的普通入
侵者。
世界上已經開發出了很多種入侵檢測系統,我們可以用通用的入侵檢測體系結構(CI
DF:Common Intrusion Detection Framework)來定義常見的入侵檢測系統的功能組件。這
些功能組件通常包括事件產生器、分析引擎、存儲機制、攻擊事件對策。
許多入侵檢測系統在設計之時就僅僅被考慮作為警報器。好在多數商業化的入侵檢測
系統配置了可用的防禦性反攻擊模塊,起碼可以切斷TCP連接或動態地更改互動防火牆過濾
規則。這樣就可以阻止黑客沿著同一路徑繼續他的攻擊行為。一些入侵檢測系統還配置了
很好的攻擊誘騙模塊,可以為系統提供進一步的防護,也為進一步深入研究黑客行為提供
了依據。
IDS到底有那些不足
IDS的基本原理
對於比較普遍的兩種入侵檢測模式--基於網路的入侵檢測和基於主機的入侵檢測,我
們可以這樣考慮:基於主機的入侵檢測系統對於特定主機給予了定製性的保護,對於發生
在本地的、用戶級的、特徵性比較明顯的入侵行為有防範作用。但是,這種模式對於發生
在網路傳輸層的入侵通常是無可奈何的,想讓應用級特徵比較強的系統同時把系統級和網
絡底層技術實現得比較完善是不太現實的。雖然我們可以看到在偉大的Linux系統上實現了
Lids,畢竟象Solaris,NT這樣的系統,我們能夠了解的只是皮毛。
基於網路的入侵檢測系統需要監視整個網路的流量,匹配可疑行為特徵。它的技術實
現通常必須從網路和系統的底層入手,而且它同時保護的是網路上的一批主機,無論它們
使用的什麼系統。基於網路的入侵檢測系統顯然不會關心某一台主機之上正在進行著什麼
操作,只要這些操作數據不會擴散到網路上來。因為網路入侵檢測系統是以行為模式匹配
為基礎的,我們可以斷定它有匹配失誤的可能,有因為不能確定某種行為是入侵而將其放
行的可能。那麼當一個「聰明」的入侵者騙過了這種系統,順利地進入一台主機,該系統
的厄運開始了。
被動的網路監視器通常利用網路的混雜模式工作,它們直接從網路媒介獲得網路中數
據包的拷貝,而不考慮這些包本來是不應該被它們接收的。當然,這種被動的網路底層協
議分析總是「安靜地」存在於網路的某個地方,它只是根據網路媒介提供的這種特徵,在
其他主機不知不覺的時候將網路數據拷貝一份。同時,需要考慮到,根據引擎端實現平台
的不同,各平台實現的網路數據包捕獲機制的不同,在混雜模式下丟包的程度是不同的。
事實上,對於大多數還需要從內核讀取數據的應用級包過濾系統,只能考慮以更快的方式
把數據讀取到用戶空間,進而發送給其它進程。 這樣處理的化,要求從技術上增加用戶空
間的緩沖區尺寸,如在BSD(BPF)的系統上,能夠利用BIOCSBLEN ioctl調用來增加緩沖區尺
寸。
攻擊IDS的原理
入侵檢測系統地最重要的特徵莫過於其檢測的「精確性」。因此IDS要對捕獲到的數據
包進行詳細的分析,所以對IDS的攻擊就是針對IDS在分析數據時的弱點和漏洞。
網路IDS捕獲到網路上傳輸的數據包並進行分析,以便知道一個對象對另一個對象做了
什麼。IDS總是通過網路上交換的數據包來對終端系統上發生的信息行為進行判斷。假設一
個帶有錯誤UDP校驗和的IP數據包,大多數操作系統會丟棄這樣的數據。某些比較陳舊的系
統也可能會接受。IDS需要了解每一個終端系統的具體情況,否則IDS按照自己的方式構造
出來的邏輯在終端系統上的應用會有不同。某些操作系統有可能會接受一個明顯存在問題
的數據包,如允許一個有錯誤的校驗和的IP包。當然,IDS如果不進行分辨,必然會丟掉這
些本來終端系統會接受的數據。
就算IDS系統知道網路都有些什麼操作系統,它也沒有辦法通過查看一個包而知道是否
一個終端系統會接受這個包。原因很簡單,CPU耗盡、內存不足都可能導致系統發生丟包現
象。
IDS全部的信息來源就是它捕獲到的數據包。但是,IDS應該多了解一些關於終端系統
的網路行為,應該了解終端系統如何處理各種網路數據。但是,實際上,這是不可能的。
在處理所謂的拒絕服務攻擊時,存在兩種常見的情況:某些IDS系統在自己處於停機狀
態時,可以保持網路正常的信息流通,這種屬於「fail-open」型;另一種則是「fail-cl
osed」型,即當IDS系統出現問題時,整個網路也隨之癱瘓了。
網路檢測系統是被動的。它們不控制網路本身,也不會以任何方式維護網路的連接。
如果一個IDS系統是fail-open的,入侵者通過各種手段使IDS資源不可用了,那時IDS就沒
有任何防範入侵的作用了。正是因為這樣,IDS系統加強自身抗拒絕服務攻擊的能力顯得極
為重要。
當然,許多攻擊方式討論的都是針對基於嗅探模式的IDS系統。這些類型的攻擊都企圖
阻止協議分析,阻止特徵模式匹配,阻止IDS獲得足夠信息以得出結論。
針對入侵檢測系統弱點的攻擊探討
有時IDS系統會接受終端系統丟棄了的數據包。因為IDS認為終端系統接受並且處理了
這些數據,而事實上終端系統由於種種原因丟棄了這些數據包。一個入侵者就可以利用這
一點,製造那種他所想要入侵的主機會丟棄而IDS系統將接受並作出判斷的數據包,以使I
DS與終端系統得到不同的結論。
我們可以把這種攻擊稱為「插入式」攻擊。道理很簡單,假設一個入侵者發往終端系
統的數據是attack,但是,他通過精心構造在數據流中加入了一個多餘的t。對於終端系統
而言,這個t是被丟掉不被處理的;而對於IDS系統而言,它得到的最終上下文關系是attt
ack,這個結論使IDS認為這次行為並沒有對終端系統形成攻擊而不作處理,事實上,終端
系統已經接受了attack數據。
現在讓我們來分析一下這種方式的攻擊如何阻止特徵分析。特徵分析通常的方式是根
據固定模式判斷某個特定的字串是否被存在於一個數據流中,例如,對待一個phf的HTTP攻
擊,IDS通常檢查這個字串的存在與否,「GET /cgi-bin/phf?」, IDS系統判斷這種情況很
容易,只需要簡單的子串搜索功能便可以做到,然而,但是,如果一個入侵者通過插入式
攻擊的思想在這次HTTP請求中增加了這樣的內容,GET /cgi-bin/pleasedontdetectthisf
orme?,裡面同樣包含了phf,但是在IDS看來,味道已經不一樣了。
插入式攻擊的的結果就是IDS系統與終端系統重組得到了不一樣的內容。通常,插入式
攻擊在IDS沒有終端系統處理數據那麼嚴格的時候都存在。可能好的解決方法就是讓IDS系
統在處理網路中需要重組的數據的時候,作出嚴格的判斷和處理,盡可能地與終端系統處
理地效果一個樣。可是,引來了另外一個問題,這便是另一種攻擊方式,相對地叫做「逃
避式「攻擊模式。
相對的,有些數據包是IDS不會接受的,而終端系統卻會對這些數據作出處理。當然,
IDS由於不接受某些包,而會導致與這些數據相關的上下文關系無法了解。
問題的現象是因為IDS在對數據包進行審核處理的時候過於嚴格,使得往往某些數據在
終端系統而言,是要進行接受重組處理的,而在IDS本身,僅僅是不作處理,導致許多攻擊
在這種嚴格的分析引擎的鼻子地下躲過。
逃避式攻擊和插入式攻擊都有效地愚弄了模式匹配引擎系統。結果都是入侵者使得ID
S與終端系統接受處理了不同的數據流,在逃避式攻擊中,終端系統比IDS接受了更多的內
容而遭受攻擊。
還是上面的phf的例子,入侵者發送了一個HTTP請求,使得原本的GET /cgi-bin/phf?
在IDS處理的結論中變成了GET /gin/f,當然,這個結論對於大多數IDS系統來說,幾乎沒
有任何意義。
從技術上來看, 插入式和逃避式這兩種對付檢測系統的方式也不是這容易就被入侵者
所利用,因為實現這種攻擊要求入侵具備相當的知識面和實踐能力。
現在的許多網路協議是簡單的並且容易分析的。比如一個普通的網路分析器就能夠容易的
判斷一個UDP DNS請求的目的。
其它的一些協議則復雜的多,在得出實際傳輸的內容之前,需要對許多單個的數據包
進行考慮。這樣的話,網路監視器必須總是監視內容的數據流,跟蹤包含在數據流中的信
息。例如,為了解析出一個TCP連接中發生了什麼,必須重組這次連接中的整個數據流。
象TCP這樣的協議,允許在IP最大包尺寸范圍內的任意大小的數據被包含於每一個分散
的數據包中,數據可以無序地到達目的地,每個數據包都具有一個序列號來表明自己在數
據流中的位置。TCP數據流的接受者有責任重新按照序列號進行數據包的重新排序和組合,
並解析出數據發送者的意思。這有一套TCP的數據重組機制來完成。在IP層,IP也定義了一
種自己的機制,叫做「碎片「,這種機制允許主機把一個數據包切分為更小的數據分片。
每一個片都有一個標記,標記自己原來屬於原始數據包的什麼相對位置,叫做」偏移值「
。IP實現允許接受這樣的IP碎片包,並且根據偏移值來重組原始數據包。插入式攻擊通過
增加一些數據包到數據流中導致終端系統重組很困難。被插入的數據包能夠改變數據流的
先後順序,進而阻止IDS正確地處理緊跟著的正確的數據包。包的插入重疊了老的數據,在
IDS系統上重寫了數據流。某些情況下,插入數據包,改變了數據流原來的意思。
逃避式攻擊則是導致IDS系統在進行流重組的時候錯過了其中的部分關鍵內容,被IDS忽略
的數據包可能對於數據流的順序來說是至關重要的;IDS系統可能在逃避式攻擊之後不知道
該如何對這些數據下結論了。許多情況下,入侵者產生整個躲避IDS系統檢測的數據流是相
對簡單的。
「插入式」和「逃避式」IDS攻擊都不是很容易防範的,除非IDS通過了第二信息源的配合
,能夠對當前監視的網路拓撲結構以及對作為被監視對象的終端系統所能夠接收什麼樣的
數據包進行跟蹤分析,否則問題依然存在,這是目前必須要提出來的對被檢測網路的詮釋
技術,盡可能通過配合第二信息源的方式,讓IDS對它所檢測的網路中的終端系統以及網路
實際環境有一個成熟的了解。如果一個攻擊能夠造成實現插入任意的IP數據包,那麼,插
入一個UDP或者ICMP也是沒有問題的。所以可以看出IDS系統在IP層實現對這兩種入侵手段
的免疫將是很重要的。一個最容易的讓終端系統丟棄IP數據包的方式是讓數據包具有不正
確的IP頭部信息。如RFC731定義。入侵者所使用的這些頭部信息有問題的數據包在現實中
可能會遇到問題,除非攻擊對象IDS系統處在同一個區域網之內,例如如果version域不是
4,而是其他的值,這種數據包實際上是不會被路由的。當然,對於其他的一些域值,比如
IP包長度或者IP頭長度,一個不規范的長度將阻止IDS系統正確定位IP中的傳輸層的位置等
。
在IP頭域信息中,最容易被忽略的是校驗值。似乎對於一個IDS系統去校驗每一個捕獲的I
P數據包的校驗是沒有必要的。然而,一個帶有病態的校驗值的數據報對於大多數IP實現來
說都是不會被處理的。一個IDS系統在設計的時候考慮到有問題的校驗了么?如果沒有考慮
到校驗的必要性,那麼很難避免「插入式「攻擊。TTL域表示了一個數據包在到達目的系統
的過程中需要經過多少路由器。每一次,一個路由器轉發一個數據包,數據包所帶的TTL信
息將會被消耗。TTL消耗盡時,包也被丟棄了。所以,入侵者可以構建一個TTL的值,使得
發送的數據包剛好可以到達IDS系統,但是TTL剛好耗盡了,數據本來應該到達的目標卻沒
有到。相類似的另一個問題與IP頭部的DF標志有關。DF標志置位使得轉發設備即便是在包
超出標准大小尺寸的時候也不要對數據進行IP分片,緊緊通知簡單的丟棄掉這些包。
這兩個不明確的問題的解決要求IDS系統能夠了解它所監視的網路拓撲結構。
IP校驗和問題很好解決;一個IDS系統可以假設如果校驗和是錯誤的,那麼數據包將會被目
標系統所不接受。而IP的選項域的存在又導致一些不同的可能性。許多操作系統可以配置
為自動拒絕源路由數據包。除非IDS了解是否一個源路由數據包的目標主機拒絕這樣的數據
包,否則不可能正確處理這樣情況。
對IP數據包中的源路由項進行檢查或許是一個明顯的必要。然而,其他的一些選項也是必
須應該考慮的。例如,「timestamp「選項要求特定的數據包的接受者在數據包里放置一個
時間戳標記。如果這個選項出現問題,處理事件戳選項的代碼將強迫丟棄這個包。如果ID
S沒有如同終端系統那樣核實時間戳選項的話,便存在問題。
同一個LAN上的入侵者能夠指引鏈路層的數據幀到IDS系統,不必允許作為IP目標的主機看
到這個包。如果一個入侵者知道了IDS的MAC地址,他便能將他的欺騙包發往IDS系統,LAN
上的其他系統不會處理這個數據包,但是,如果IDS不檢查接受到的數據包的MAC地址,它
是不會知道發生了什麼情況的。
逃避式攻擊則是導致IDS系統在進行流重組的時候錯過了其中的部分關鍵內容,被IDS忽略
的數據包可能對於數據流的順序來說是至關重要的;IDS系統可能在逃避式攻擊之後不知道
該如何對這些數據下結論了。許多情況下,入侵者產生整個躲避IDS系統檢測的數據流是相
對簡單的。
因為終端系統將重組IP碎片,所以IDS系統能夠進行IP碎片重組也是重要的。一個不能正確
的重組碎片的IDS系統將是容易受到攻擊的,入侵者僅僅通過人工生產碎片便可以愚弄IDS
。IP碎片的數據流通常有序到達。但是,協議允許碎片以任何次序到達。一個終端系統必
須能夠重組無序到達的數據包分片。 IDS系統如果不能處理IP碎片無序到達這種情況的話
,也是存在問題的;一個入侵者能夠故意搗亂他的碎片來逃避IDS檢測。而且IDS必須在全
部的碎片都被接收到以後才進行碎片重組。當然了,接收到的分片必須被存儲下來,直到
分片流可以被重組為一個完整的IP數據包。一個入侵者如果利用分片的形式來對網路進行
flooding攻擊,那麼IDS系統通常會資源耗盡。
每個終端系統也必須處理這個問題。許多系統根據TTL來丟棄分片,而避免這種由於大量碎
片請求造成的內存不足。許多入侵者能夠刻意地通過構造病態的IP分片躲避傳統的包過濾
器,他們使用的是盡可能小的分片包,因為單個的分片所包含的數據不足以達到過濾規則
的長度。另外,出現的問題是重疊的分片處理問題,可能性是這樣的,具有不同尺寸和分
片先後到達系統,並且分片的數據位置處於重疊狀態,既是說,如果一個分片遲於另外一
個分片達到系統,兩個分片對於重組參數來說是同一個,這時新到的數據可能會覆蓋掉已
經先到達的老的一些數據。這便又提出了一個問題,如果一個IDS系統沒有能夠以它所監視
和保護的終端系統處理分片的方式處理分片包的話,可能面對同一個數據分片流,IDS系統
將重組出於終端系統得到的安全不同的數據包。一個了解這種IDS與終端系統之間矛盾的入
侵者可能會採用這種入侵方式。對於重疊分片的取捨是更加復雜的,對於這些又沖突的分
片數據是否被採納往往取決於他們所在的位置,而根據不同的操作系統的對IP碎片重疊情
況的不同處理也不一樣。有些情況,新的數據被承認而有的時候是舊的被承認,而新的被
丟棄。當然,IDS不能正確分析這種情況,將面臨「逃脫」式攻擊。
IDS系統並不是處理這種重疊分片出現問題的唯一IP實現,終端系統的IP驅動程序同樣會有
問題。或許正是因為IP碎片重組的困難和復雜才使得出現了那麼多不正確的處理。所以,
除非一個IDS系統准確的知道它所監視的系統都是什麼不同的IP驅動,否則精確地重組每一
個系統接受地數據是不可能的。
例如:Windows NT在處理重疊分片時,總是保留已有的數據。這與BSD4.4剛好相反。
IP包的選項域是應該考慮到的。當一個IP包被分片時,來自於原始數據包的選項是否應該
被攜帶到全部的分片中去。RFC791聲明某些IP選項如(security)將出現在每一個分片里
,而其它的一些必須只出現在第一個分片中。對於嚴格的IP實現將丟棄那些具有不正確選
項的分片。但是IDS許多系統不是這樣的。如果IDS沒能象終端系統那樣精確的處理這種情
況的話,將面臨前面提到的兩類攻擊。
對於IP第四代協議,現實是任何人都可以進行IP地址偽造。使IDS系統判斷出來好像是來自
多處的攻擊。對於無連接的協議來說,更為嚴重。
在面向連接的協議中,關於一次連接回話的起源問題基於是否一個可用的連接被產生了;
象TCP這樣的連接協議使用了序列號機制,這種機制提供了一種確認方法, 可是,對於無
連接協議,這種相對嚴格的確認機制卻是沒有的;可以看到,一個入侵DNS的破壞者其實可
以是來自任何地方。看來,IDS系統的管理者對於IDS系統給出的網路地址的准確性是應該
仔細考慮的。事實上,被IDS檢測到的大部分攻擊是通過TCP連接的。所以,IDS對TCP會話
數據流的重組能力成為關鍵。而假如IDS沒有能夠使用與它所檢測的網路中的終端系統同樣
的重組規則的話,將是脆弱的。對於正常的TCP連接,就像一次由遠程登錄發起的連接,這
很容易做到的。也存在許多實現TCP連接監視的方法。對於IDS而言,沒有一個對捕獲到的
TCP數據流如何進行處理的標准規范成了最主要的問題。
IDS系統為了能夠重建TCP連接的信息,TCP片段使用的序列號信息是必須知道的。我們可以
把這種IDS去判斷當前連接的可用序列號的過程叫「同步」。當然,在判斷序列號時出現問
題,可以叫「失去同步」。當IDS系統在一次TCP連接中失去序列號同步了,就不能夠對這
次連接的信息數據進行有效的重組了。在許多情況下,IDS系統由此變得不再處理這一次連
接中的任何數據信息。所以,入侵者通常把讓IDS系統失去同步作為一個主要目標。
TCP標準定義了一個流控制機制,用來阻止建立連接的一方發送過多的數據到連接的另外一
方;IDS追蹤TCP連接的每一方的window域的值。TCP也允許數據流中發送所謂的OOB數據(
帶外數據),它利用了定義的緊急指針。
對於網路中的終端系統,與之相關的每次連接的狀態信息的收集處理是沒有問題的,每種
TCP實現必須管理自己的TCB――TCP控制塊,以便理解那一次建立的連接情況。一個網路I
DS系統也必須能夠維護它所監視的每一次連接對應的TCB。
任何網路IDS系統都定義了針對所探測到的新的TCP連接而產生TCB的機制,同時也對那些不
再有關的連接進行釋放和消除工作。在討論IDS的TCP問題中,我們獨立地分析三個方面,
可以看到,在IDS處理這三種情況時可能出現問題。首先是TCP creation,通過它IDS決定對
一個新探測到地TCP連接產生TCB;其次是數據流重組,IDS根據它所維護地TCB信息對數據
流進行重組,當然這一步受到上一步地關聯;再者是TCB拆卸,IDS通過它撤銷一個TCB。通
過分析可以看到,「插入式」攻擊的實現將影響到以上提到的幾個方面,插入式攻擊使得
IDS系統分不清到底什麼數據事實上到達了終端系統。比如在數據流重組上下文關系中,數
據插入式攻擊使得一次可靠的TCP會話監視幾乎成為不可能的事;所以說IDS能夠針對插入
式攻擊做處理是非常重要的也是很難實現的。
對於IP協議,可以有幾種不同的方法可以實現往IDS系統中插入數據包,而對於TCP,問題
會復雜一些,但是同樣有一些手段能夠導致IDS去主動丟棄某些特定的數據包,以達到入侵
者的目的,無論如何,如果一個IDS系統不能夠以它所監視的終端相同的方式來處理TCP包
的話,對待」插入式「將受到威脅。
在一次TCP交互中,如果接收方對應回應了一個信息,那麼一個TCP片段就是被認可的,我
們進一步可能分析回應的是RST信息還是ACK信息。IDS能夠通過對這些認可信息的辨識判斷
一個片段是否是存在問題的。包含在TCP包裡面的數據能夠被提取出來進行重組,而不去考
慮TCP的頭域的某些部分。這種不嚴格的處理情況使得容易做出對於「插入式「攻擊手段顯
得脆弱的TCP會話監視器,所以,在處理TCP數據的時候,先嚴格考慮TCP頭域的信息可用性
顯得很重要了。一個極易被忽略的頭域是「CODE「,這個頭域決定了TCP片段中發送的信息
的類型。這個域是一系列二進制標志位。可以看到,某些標志位的組合是不正常的,通常
在網路中導致包被丟棄掉。另外,許多TCP實現就不去接收沒有ACK位被設置的TCP片段中的
數據信息。
根據TCP的標準定義,TCP實現應該接受包含在SYN類型片段中的數據信息。而對這種定義的
理解卻變成了多種味道,導致一些TCP實現沒有正確地處理這類信息。如果一個IDS系統沒
能考慮SYN數據,那麼一個隨便的「逃避式」攻擊就可以對它進行威脅;反之,如果這個I
DS系統能夠很好地考慮SYN數據了,在針對某些沒有正確實現這種定義的終端系統的時候,
它顯得當不住入侵者刻畫的「插入式」攻擊。
另外的經常被忽略的TCP輸入處理問題是校驗和,全部的TCP實現被強制性地要求驗證網路
校驗,許多IDS系統不能做這種檢查;所以通過構建有錯誤校驗值的TCP片段就可以簡單地
插入數據包到IDS系統。
就像處理IP的選項域一樣,IDS能夠正確的處理TCP的選項域也是十分重要的。可是不幸的
是,由於TCP的選項域某些內容被產生和利用的時間還比較短,如timestamp、windows sc
ale這些選項;另外對於何時TCP的選項能夠出現在連接的上下文中,TCP有專門的規定。某
些選項在某些連接狀態或許就是不可用或者是非法的。RFC1323[13]中介紹了兩個TCP的選
項,這兩個選項被設計來增加TCP在高速環境下的可靠性和性能。但是規定這些選項僅僅可
以出現在非SYN的分段之中。
因為某些TCP實現會拒絕包含了這些沒有見過的選項的非SYN片段,所以IDS也不可盲目的都
接受這些有選項的數據包。另外,也有一些終端系統通過忽略這些選項,繼續處理這些數
據包;所以,可見IDS必須清楚地知道終端系統是如何處理各種數據包的,才能以相對於特
定的終端系統正確的處理方式來進行處理而避免如插入和逃避式攻擊。
RFC1323 定義了的另外一個叫做PAWS的概念,全稱是「protection against wrapped seq
uence numbers」。使用PAWS的系統將會跟蹤分段中的timestamps選項;根據分段中的tim
estamps響應值判斷數據包是否被丟棄,一個入侵者可以很簡單的產生一個人工的timesta
mp值,目的是使得支持PAWS的TCP堆棧不用作出進一步的處理就丟棄這個數據包。IDS不僅
僅需要知道是否終端系統支持PAWS,而且還需要知道終端系統對於timestamps的threshol
d的值是什麼。如果沒有這些信息,IDS將會錯誤地處理不正確地TCP片段,或者對一個片段
的合法性作出錯誤的猜測。如前面提到的三點,其中TCB creation(可以叫作TCB創造)是
第一點。一個IDS系統TCB創造策略決定了IDS如何開始記錄一次給定的TCP連接的數據信息
,比如象序列號等。這使得IDS可以同步一次需要監視的TCP會話。然而TCB創造是個麻煩的
問題。可以用多種方法可以被利用來判斷何時打開一個TCB,但是,這些方法中的每一個似
乎證明都是有問題的。TCB創造建立一次連接的初始化狀態,包括了連接序列號等信息;通
過對IDS的TCB的欺騙行為,入侵者能夠破壞那些與這一次被利用的連