Vad är intrångsdetektering (IDS)
IDS är förkortningen för Intrusion Detection System och är ett program eller enhet som används för att upptäcka att en angripare är eller har försökt obehörig åtkomst till datorresurser. IDS används för att upptäcka intrång eller intrångsförsök. Ett IDS inspekterar all inkommande och utgående nätverksaktivitet och identifierar misstänkta mönster som kan tyda på en attack eller att någon försöker bryta sig in i ett system.
Att lura en IDS – IDS evasion
Det finns flera metoder som angripare kan använda för att lura ett IDS-system att tro att deras attack är legitim trafik. Med tekniker som obfuscation (sv. förvirring), fragmentering, Denial of service och program kapning kan angripare få trafiken utan att att de upptäcks. Läs mer
NChop är ett hackerverktyg som tillåter en användare att godtyckligt skicka segmenterade TCP-nyttolaster för alla TCP-sessioner. Detta kan användas för att testa säkerheten för intrångsdetekteringssystem (IDS) eller system för intrångsskydd (IPS).
Det finns olika kategorier av IDS:
- Ser på avvikelser eller där det ser ut som att systemet inte används på rätt sätt. Man har signatur databaser där man ser på mönster i attacken.
- Nätverksbaserade (NIDS) där man ser på trafiken och hostbaserade IDS:er där man ser på de specifika datorerna.
- Passiva och aktiva IDS:er där de senare gör en aktivitet medan de passiva loggar aktiviteter och skickar alerts.
