به سیستم های که عوامل مخرب و نفوذی را شناسایی می کند IDS گفته می شود. این گونه سیستم ها با بررسی و تحلیل اطلاعات رد و بدل شده و ترافیک جاری سعی بر شناسایی عوامل مخرب را دارند، و پس از شناسایی و حاصل شدن یقین که ترافیک ارتباطی مربوط به ماشین و یا کاربری غیر مجاز است؛ به روش های مختلف مدیر شبکه را با خبر می کند.
IDS ها در دو لایه Network و Application بکار گرفته می شوند.

1- بکارگیری IDS در لایه Network
در این روش IDS عملیات تحلیل و شناسایی عوامل مخرب را بر روی تمامی ترافیک ورودی انجام می دهد؛ به عبارتی دیگر تمامی ترافیک ورودی را دریافت و بررسی های مورد نیاز را برروی آنها انجام می دهد.
در این روش IDS با حجم زیادی از بسته های از نوع TCP و UDP روبرو است که باید بر اساس آنها مخرب بودن و یا نبودن آنها را شناسایی و گزارش مربوطه را برای مدیر شبکه ارائه دهد.

IDS ها برای شناسایی عامل های مخرب معمولا از یک بانک اطلاعاتی که شامل الگو های نفوذ است استفاده می کنند. در واقع IDS ها ترافیک موجود شبکه را با الگوهای از پیش تعریف شده خود مقایسه می کنند و از این طریق اقدام به شناسایی عوامل مخرب و نقوذی میکنند.از این رو نفوذ گران همیشه بدنبال استفاده و بکارگیری راه کارهای جدید برای عبور از IDS ها هستند. و یکی از معمول ترین روش ها این است که نفوذ گر با استفاده از تر فند های مختلف سعی بر آن دارد که ترافیک به طور معمولی به نظر آید و IDS آن را به عنوان ترافیک نفوذی و مخرب شناسایی نکند.
IDSها پس از شناسایی ترافیک مخرب و نفوذی با استفاده از عوامل هشدار دهنده و یا با ارسال Email، نفوذ را به اطلاع مدیر شکه می رسانند و کماکان رد گیری ترافیک نفوذی را انجام می دهند.
به عنوان مثال زمانی که IDS با ترافیکی که شامل هزاران بسته از نوع SYN از طرف یک IP آدرس بر روی پورت های مختلف شبکه مواجه می شود؛ پایه را بر این اساس میگذارد که این ترافیک ناشی از شروع یک حمله به شبکه است.

همانطور که گفته شد نفوذ گران برای اینکه توسط IDS شناسایی نشوند از الگو های جدید استفاده میکنند که با الگو های IDS مطابقت نداشته باشد و گاها ابزار های برنامه نویسی را بکار می گیرند.اما روش دیگر که نفوذ گران برای دور زذن IDS از آن استفاده می کنند این است که : بسته ها به طوری بر روی شبکه ارسال شود که تنها مقصد نهایی قابلیت تشخیص آنها را داشته باشد.و این همان روشی است که نفوذ گران برای از کار انداختن IDS استفاده می کنند خورد کردن بسته هایIP به قطعه های کوچک،IDS  بایستی تمامی بسته ها را در بافر نگهدارد و پس از تکمیل بسته را باز سازی کند. برای انجام این امر IDS نیاز به بافر زیادی دارد لذا نفوذگران با ارسال هزاران بسته خورد شده به سمت IDS باعث پر شدن بافر IDS شده و در نهایت IDS را مختل می کنند.

2- بکارگیری در لایه  Application
در این سطح IDS تنها تقاضاهی مربوط به برنامه تعیین شده را بررسی میکند و تنها تقاضاهای غیر متعارف و خطرناک مربوط به این پورت و یا برنامه خاص را گزارش می دهد. با این تفاسیر برای هر برنامه در لایه Application نیاز به یک IDS است.
برای جلوگیری از نفوذ بایستی مدیران شبکه IDS را در هر دو سطح Application و Network بکار ببندند.در این صورت چنانچه نفوذگر از IDS در سطح شبکه عبور کرد امکان شناسایی آن توسط IDS فعال در سطح Application نیز وجود دارد.

استفاده از IDS برا جلوگیری از سریز شدن پشته
همیشه نفوذگران به دنبال دستنیابی به منابع نیستند و در خیلی از موارد به دنبال راه کارهایی هستند که سرویس دهنده را مختل کنند.
از این رو بکارگیری عواملی که باعث سر ریزی پشته شود یکی از محبوب ترین روش ها است که نفوذگران از آن استفاده می کنند.

اما زمانی که در شبکه IDS بکار گرفته شده باشد تا حدودی می توان با اینگونه نفوذ های مبارزه کرد و IDS قابلیت شناسایی اینگونه نفوذ ها را به شکلی که در زیر مطرح می شود را دارد.

1- هر گاه طول بسته ای که در شبکه ردو بدل می شود از حدی بیشتر شد IDS آن را به عنوان عامل مخرب شناسایی می کند.

2- هر گاه بسته های ارسالی حاوی nop باشد به طوری که در انتهای بسته کدهای معنی دار وجود داشته باشد IDS  نیز آن را به عوان عاملی مخرب شناسایی می کند.

توضیحات فوق بیانگر این نکته است که چانچه IDS و Firewall با هم ترکیب شوند می توان از راه کارهای متفاوتی برای جلوگیری از نفوذ و امن کردن شبکه استفاده کرد.

منبع: http://barnamenevis.org

www.smsm.ir

نوع مطلب : مهندسی کامپيوتر - نرم افزار
نوشته شده در پنجشنبه ۲۰ آبان ۱۳۸۹ توسط SMSM |           |