Quelques techniques

Il existe ainsi plusieurs techniques pour échapper à la détection par les IDS notamment dans le cas des IDS par scénario :

L'évasion C'est faire passer une attaque au travers du système de détection en évitant de correspondre à un scénario répertorié, donc détectable.

L'insertion C'est l'insertion de trafic qui permet de déjouer l'IDS en lui faisant croire à un trafic légitime. On injecte l'attaque parmi beaucoup d'informations sans incidences. Les signes de l'attaque n'apparaissent donc pas à l'IDS mais quand les données atteignent la cible, seule l'information malintentionnée est acceptée par le système. Cela est très proche du principe des canaux cachés.

D'autres méthodes sont possibles :

• Déni de service
• Flood de signes d'intrusions (faux positifs ou vraies alarmes) pour déclencher beaucoup d'évènements et surcharger les administrateurs. Nous pouvons par exemple utiliser l'outil snort pour cela.
• Contournement physique (les trames ne sont pas capturées par les sondes) en jouant sur les domaines de collisions.
• Attaque directe contre l'IDS : comme nous l'avons vu dans ce rapport, les IDS présentent quelques points faibles qui peuvent être exploités (réponse active redirigée, saturation de l'espace de stockage des alertes, faiblesse de la pile utilisée, ...)
• Distribution dans le temps ou dans l'espace