高级逃逸技术AET让黑客入侵如虎添翼-网络安全-51CTOcom.PDFVIP

魔高一丈 高级逃逸技术(AET)让黑客入侵如虎添翼 Jack Zhai 翟胜军 Jack Zhai 北京启明星辰信息安全技术有限公司 CISP培训特聘讲师 51CTO专家博客 信息安全“攻防”研究者 内容 ①AET的由来 ②我们了解到的AET ③谈谈“沙箱逃逸” AET是 “被发现”的 高级逃逸技术:(AET：Advanced Evasion Technique) 2010年10月18日，芬兰 公布了23种高级逃逸技术细节 解释一下AET AET是利用信息安全防护体系的漏洞 在入侵者与目标之间建立一条“绿色通道” AET 的历史并不短 1997年有人宣称发现逃逸技术可以逃避IDS检查 1998 年Newsham 和Ptacek发表的论文中，描述了逃逸技术的基础原理： IP碎片、IP选项、TCP选项、TCP序列 1999年国外出现大量讨论如何逃逸IPS的文章 2006年研究称组合逃逸技术(AET)组合可轻松穿透IPS 2007年BlackHat大会讨论高级逃逸技术AET 2010年Stonesoft公司公布AET技术的威胁 同年，CERT发布全球AET安全预警 2011年发布AET演示工具Predator 同年，中国移动研究院对IPS产品AET功能测试 2012年中国厂商宣称通过NSSLAB的IPS AET测试 2013年中国某大学建立AET信息安全研究室 1995 2000 2005 2010 2013 认识一下AET技术的“能量” IP分片与重叠处理： 入侵者发送 防护者接收 目标接收 Linux平台 Windows平台 如何逃逸？躲避监测的几种思路 1.改变自我特征-新面孔 2.创新攻击模式-新动作 3.干扰监测还原-戴面具  协议宽松：重叠、乱序  检查漏洞：分片重组、延迟发送  字符集理解差异：各种注入与填充  „ 超时发送数据分片-缓冲时间短 IPS 碎片重组 碎片重组 超时值=15s 超时值=30s 0秒 碎片1 碎片1 碎片1 15秒 等候 碎片1 碎片1 丢弃 丢弃 25秒 碎片2 碎片2