返回
高级逃逸技术研究-Stonesoft.pdf

高级逃逸技术研究-Stonesoft.pdf

ID:52515027

大小:1.33 MB

页数:37页

时间:2020-03-28

高级逃逸技术研究-Stonesoft.pdf_第1页
高级逃逸技术研究-Stonesoft.pdf_第2页
高级逃逸技术研究-Stonesoft.pdf_第3页
高级逃逸技术研究-Stonesoft.pdf_第4页
高级逃逸技术研究-Stonesoft.pdf_第5页
资源描述:

《高级逃逸技术研究-Stonesoft.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、高级逃逸技术研究(AdvancedEvasionTechniques)议题1。什么是逃逸攻击技术?2。AET之前逃逸是如何攻击以及被识别的?3。AET是如何发现的?4。Stonesoft是如何防御AET攻击的以及我们的研发工具什么叫逃逸攻击技术?定义逃逸技术是一种通过伪装和/或修改网络攻击以躲避信息安全系统的检测和阻止的手段。利用逃避技术,高级的、怀有恶意目的的罪犯对具有漏洞的系统进行攻击。通常这些带有恶意内容的攻击会被检测出并被阻止,而高级的逃逸技术则不会被检测到。目前的安全系统对这些高级逃逸技术束手无策,就像隐形战斗机可在雷达和其它防御系统检测不到的情况下发起攻击逃逸相关的研

2、究•AseminaltextdescribingtheattacksagainstIDSsystemsappearedin1997(注释-逃逸IDS检查)•OneofthefirstcomprehensivedescriptionofattackswasreportedbyPtacekandNewshaminatechnicalreportin1998(注释-详细的技术细节描述此类攻击)•In1998,alsoanarticleinthePhrackMagazinedescribeswaystoby-passnetworkintrusiondetection(注释-逃逸IPS的方

3、式)•HandleyandPaxsonsuggestnormalizationin2001(注释-建议防护系统具备合法遵从检查)•GortonandChampionsuggestedcombinationsin2004(注释-更复杂的合法遵从检查)•MooreandCaswelldiscussevasionsatBlackHat2006(注释-更多的人关注逃逸)分片逃逸攻击重叠逃逸攻击加入多余或者无用字节逃逸攻击入侵防御系统的本质•保护主机和服务器免遭远程攻击风险•实施深度包检测,保证应用安全•流量合法遵从检查以及识别攻击AETs的发现历程•Stonesoft在ICSA以及NSS

4、Labs的逃逸测试不太理想•我们的研发以及安全分析专家利用自己的研发工具(Predator)发现可以创建出很多的逃逸技术的结合。•利用这些逃逸技术的结合我们发现能轻易地逃避我们自己IPS的检测以及告警。同时,我们通过测试很多Gartner排名靠前的IPS设备以及防火墙设备发现同样能轻易逃避不留任何痕迹,于是我们统称这一类的逃逸技术为高级逃逸技术(AET)•这并不是新的漏洞以及威胁,只是在互联网上有重大的安全威胁以及有可能造成企业资产和数据的丢失,造成大的恐慌!!!举例说明逃逸攻击时如何实现的root@ipforge:/usr/local/predator#shpwn-throug

5、h-snortInitializingIPForgebasedontheconfiguration..-Usingrandomkey201864582972067482338388580272033223522StartedatIP10.0.1.101,MACde:ad:01:00:01:02.Attackingagainst10.0.1.200Exploitrun1:TCPevasion:time_wait,MSRPCfragstyle:16byte,MSRPCevasion:big_endian,alter_context}-FailedtoconnecttoshellExp

6、loitrun2:IPfragstyle:16byte,8byte,out_of_order,fwd_overwrite,last_first,24byte,TCPfragstyle:1byte,SMBfragstyle:16byteExploitrun3:IPfragstyle:random_order,8byte,last_first,256byte,TCPfragstyle:1byte,MSRPCevasion:random_object}Exploitrun4:IPfragstyle:16byte,8byte,out_of_order,last_first,one_dup

7、licate,256byte,24byte,TCPevasion:time_wait,urgent_ptr,MSRPCfragstyle:16byteMicrosoftWindowsXP[Version5.1.2600](C)Copyright1985-2001MicrosoftCorp.C:WINDOWSsystem32>如果不能进行准确合法标准化检查,攻击将穿越安全防护系统。直接致使安全防护系统失去防护作用,导致安全防护系统变得毫无用处。Normalization标准化检

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。