前言

近两年兴起的大型网络攻防对抗比赛以实战的方式进行，这个举措非常好，以攻促防（“talk is cheap，show me the shell”），参赛大企业会更加关注实际的安全威胁并且想办法缓解，客观上也繁荣了安全行业，一时间相关的安全服务及安全产品畅销，特别是有实时检测和阻断能力的IDS/IPS大放异彩。

于是，大企业纷纷采购部署IDS、IPS、WAF这些安全防护产品，压缩了攻击面，那就带来两个问题：1）渗透测试这个方向还有没有机会？也有渗透测试人员发的知乎热帖[1]对未来提出困惑；2）部署了IDS/IPS设备，在设备后端被防护着的系统的安全漏洞是否还要修复？不要急着回答，且看后文。

IDS/IPS防护原理及绕过思路

IDS工作在网络层，旁路部署，通过抓取和分析网络流量来发现攻击；IPS一般也是在网络层旁路，可以理解为具备阻断能力的IDS，是IDS的升级版（也有IDS检测到攻击通知阻断设备执行阻断动作的设备联动模式），可以覆盖网络层和应用层；WAF是在应用层防护Web攻击的程序，一般是跟Web接入层对接，可旁路可串行，仅能覆盖应用层，详细的技术原理和实践可参考TSRC博客的这篇文章[2]。本文为阐述方便，统一把网络层的旁路防护设备视为IPS。

安全专家们关于应用层WAF的绕过探讨已经很多了[3]，TSRC博客近期也会推出推出一篇WAF绕过的文章，所以本文就不落窠臼，我们下沉到网络层来玩玩。