Nids - Wady
Menu | Index
- skanowanie ruchu sieciowego wymaga dużej ilości zasobów, szczególnie gdy system NIDS zawiera długie listy reguł, wiele modułów sprawdzających, więc czasem wystarczy wygenerować duży ruch aby system NIDS uległ uszkodzeniu
- wykrycie ataku na konkretną aplikację może być bardzo trudne, bo atak może używać jakiejś subtelnej dziury w danym protokole, np. robak Code Red wykorzystał błąd w serwerze WWW Microsoft IIS używając niestandardowego zapisu żądań w protokole HTTP, co nie zostało wykryte przez większość systemów NIDS - wykrywanie takich błędów jest dodawane do systemu NIDS już po ataku, więc właściwie systemy te są bezradne
- atak może trwać długo, np. serwery WWW najczęściej uznają sesję za zamkniętą dopiero po kilku minutach nieaktywności, więc od wysłania pierwszego pakietu w ataku do wysłania następnego atakujący ma dużo czasu, a system NIDS żeby wykryć taki atak musi przechowywać dane o sesji i oczekiwać na kolejne pakiety - zajmuje to bardzo dużo zasobów przy dużym natężeniu ruchu
- proste reguły dopasowujące zawartość pakietów do wzorca są mało skuteczne, bo atakujący może zapisać kod na wiele różnych sposobów i próbować ominąć system wykrywania
- atakujący może tak spreparować strumień pakietów, że bez problemu ominie system NIDS - dzieje się tak z uwagi na to, że reguły dotyczące struktury przesyłanych w Internecie pakietów są bardzo liberalne - systemy operacyjne i aplikacje różnią się w implementacji szczegółów i wiele różnych sposobów zapisu może zostać uznane za poprawne, system NIDS musiałby umieć je interpretować i analizować, co również wymaga sporych zasobów, w rezultacie część ruchu sieciowego, która może zawierać atak będzie niezrozumiała dla systemu wykrywania
- istnieją narzędzia, które za cel ataku stawiają sobie właśnie systemy NIDS - np. programy Stick czy Snot na podstawie bazy sygnatur systemu NIDS Snort generują takie pakiety, które Snort uzna za atak i wyśle monit do administratora (czyli zużyje pewną ilość zasobów) - duża ilość takich pakietów może spowodować wyczerpanie zasobów i uszkodzenie systemu wykrywania
- problem monitorowania systemu NIDS - system wykrywania w dużej sieci może zgłosić dużą ilość (być może fałszywych) alarmów o podejrzanej aktywności, ale żeby je sprawdzić i ewentualnie zapobiec atakom, potrzebny jest administrator
NIDS - Snort