高级闪避技术(AET)很少获得应有的关注,因为它最初是由一家厂商(Stonesoft)创造出来的术语,主要用来描述攻击者如何击败其他安全厂商。
现在,为了证明这一点,Stonesoft出具了南威尔士大学撰写的一篇关于《入侵防御系统中拦截闪避的有效性》的论文。这篇论文总结称,“在这个试验中,我们展示过已经安装的部分IPS,对使用高级闪避技术的攻击提供了有限的保护。”
该试验包含来自Sourcefire,IBM,PaloAlto,Fortigate,McAfee,Checkpoint,瞻博网络,思科和Stonesoft的装置;而且使用了两个老的漏洞(CVE-2008-4250和CVE-2004-1315),这两个漏洞应该通过修补好的IPS装置来结束。确实,所有设备都可以有效阻止针对这些漏洞的简单攻击;但是使用Stonesoft的Evader(专门用来部署基础闪避技巧的工具)后,结果截然不同。
这篇论文描述了一种闪避技术。它解释称,IPS装置在检测到入侵时可以采取行动——但是当执行恶意攻击的病毒的有效载荷被分解到多个数据包时,它们可能不能识别出攻击。在这种情况下,它在通过IPS前都是“不可见的”,而“接收数据包的主机却会收集有效载荷,然后重组信息。”这份报告指出“一次不被察觉的闪避为成功的入侵行为创造了绝佳机会,之后,攻击者利用它偷取数据或将其作为僵尸网络的资源使用。”
这个测试本身展示了针对漏洞CVE-2008-4250的2759次攻击,大部分设备阻止了98.6%或以上的攻击。只有Sourcefire的拦截率较低,为93.33%。排名在前两位的设备分别是思科(99.9%)和Stonesoft(99.6%)的产品。
但是,当闪避技巧被用到漏洞CVE-2004-1315上时,这些装置的成功率就降低。这一次,排名前两位的两个装置是Stonesoft(面对2638次攻击,阻止了99.7%)和Fortigate(阻止了99.2%)。尽管如此,剩下的七款装置中,没有哪款的拦截率超过66%,McAfee装置的拦截率最低,为50.1%。
南威尔士大学的论文总结称,“闪避技巧是网络安全中的问题。另一方面,高级闪避技巧被IPS行业的很多人所忽视,而这种忽视导致了很多难以被检测到的攻击。”它警告称,“即便一次单独闪避的成功也足以让活跃的有效负载通过,这就让网络以及里面包含的信息处于危险之中。”报告还称,网络安全社区应该引起重视,IPS系统应该更容易察觉可能被用到的闪避技巧和新旧漏洞的挖掘,并对此作出响应。
