EDT：入侵检测设备安全能力测试 – 作者:co0ontty

EDT （Eight-Diagram-tactics）

项目介绍

EDT 是一个检测入侵检测系统安全能力的项目，通过整合各种入侵检测系统常见的 bug 对入侵检测设备的安全能力进行检测。

入侵检测系统常见bug

端口 bypass

某些入侵检测系统为了提高运行性能，只对常见端口的流量进行检测或对指定端口的流量进行检测，并不会将所有的流量进行检测，这也就可能导致入侵检测系统部署之后启用的端口并不会被检测，比如 shell （除了webshell）回连时并不会被检测

流量拆分

在实际的工作过程中曾经遇到过这样的情况，某入侵检测系统会将超过某一特定大小的流进行截断和拆分然后去进行入侵检测规则的匹配，后果可想而知

大流量 pass

这个 bug 与上面提到的流量拆分的不同在于，有些入侵检测设备会将大流量进行拆分而有些入侵检测设备则会直接将这一部分流量 pass ，不进行检测，大流量 pass 可以看作是给我们提供了一种入侵检测绕过策略。可以在原本 paylaod 的基础上添加一些无用字符串，使得payload所在流量超过阈值，从而绕过检测。

TCP 分片重组

简单的说就是，入侵检测系统在检测 TCP 分片并进行重组的时候会存在一定的时间限定，并不会一直去等待。我们只要在 payload 发包的过程中使用 sleep 进行分片，只要分片的时间超过入侵检测系统的等待时间而又不超过目标 TCP 分片重组等待时间便可进行绕过。

最后

EDT（Eight-Diagram-tactics）将上述的 bug （除了 TCP 分片）进行了集成，通过 Docker 构建漏洞环境，并针对没种 bug 精心构造了一个或多个 poc 进行绕过。

最后的最后，项目中使用的 poc 仅仅是为了测试入侵检测设备的可用性，并未对返回值的多种可能性进行处理，不建议拿去干别的。

来源：freebuf.com 2020-09-10 18:52:18 by: co0ontty