文档介绍:高级逃逸技术(AET)的分析一、当今的网络安全现状当前,信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力,使企业能在信息资讯时代脱颖而出。企业利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性,使得企业的信息安全问题日益严重。在企业对于信息化系统严重依赖的情况下,如何有效地增强企业安全防范能力以及有效的控制安全风险是企业迫切需要解决的问题。同时中小企业在独特的领域开展竞争,面对竞争压力,他们必须有效地管理成本和资源,同时维护业务完整性和网络安全性。企业网络中可能存在的问题:外部安全随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄漏等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失都很大。内部安全据最新调查显示,在受调查的企业中,60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率,阻碍了电脑网络,消耗了企业网络资源,并引入了病毒和间谍程序,或者使得不法员工可以通过网络泄漏企业机密,导致企业的损失。企业业务服务器不仅需要来自互联网的安全防护,对于内网频发的内部非正常访问及病毒威胁,同样需要进行网络及应用层的安全防护。内部网络之间、内外网络之间的连接安全随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全性直接影响企业的高效运作。上网行为和带宽的管理需求计算机网络已经成了支撑企业业务的重要环节,同时也成为了企业员工日常不可缺少的工作及休闲的一部分。员工们****惯了早上打开电脑访问新闻网站,到淘宝网上去购买商品,到开心网去停车、偷菜,通过炒股软件观览大盘走势、在线交易,甚至下载和在线观看电影视频、玩网络游戏……企业连接网络的初衷是加快业务效率、提高生产力,而原本用来收发邮件、查询信息、视频会议等用途的网络变为娱乐工具时,企业管理者定然是无法接受的,而如何管理网络,让网络流量健康、提高工作效率、限制或禁止上班时间的非工作行为,则是企业网络管理者最为头疼的事了。当然,最重要的还是如何使得企业的核心资产以及核心应用不受到外界的攻击破坏而带来的经济损失以及名誉的损失。如今,复杂的网络环境给信息安全系统管理构成了严峻的挑战。入侵检测(IDS)和防御系统(IPS)可以帮助企业,尤其是那些本身存有漏洞的系统,实现对外部攻击的防御,因为IPS的更新是随着恶意风险的出现而进行的。既然出现了IPS技术,同样,就会有人试图逃逸这类系统的检测。在这种情况下,如何更好地有效地防御这种逃逸类型带来的攻击给我们的企业以及IT管理人员提出了更高的要求和更高的技术手段。二、逃逸技术产生的历史背景由于TCP/IP是互联网和大多数计算机网络使用的协议集,是根据1981年发布的RFC791标准的要求编写的。其中,RFC提到,“一般而言,设备必须在发送行为上保守一点,在接收行为上宽松一点。也就是说,设备在发送符合语法的数据报时必须谨慎一些,同时接收一切能够翻译的数据报(例如,不反对技术性错误,只要意思表达清楚、完整)”(1981年出版的Postel,23页)。这就意味着,编写信息的方式多种多样,而且,接收主机还能一字不差地翻译这些信息。这种宽松的方式原本是为了提高系统间互操作性的可靠性,但它同时也为大量攻击和方式提供了隐蔽的渠道来逃逸检测。由于不同操作系统和应用程序接收数据包时的表现形式各有千秋,因此,目标主机的应用程序所看见的内容可能与网络流量中的内容完全不一样。同样,检测系统与主机之间的网络本身可能也会改变流量。在许多情况下,如果能够谨慎利用这些不同之处,要以看似正常和安全的方式创建数据包是完全有可能的,但当终端主机翻译时,则会形成一个可攻击终端系统的漏洞利用程序。这类技术就是所谓的逃逸技术。逃逸技术研究始于1990年末。在1998年发表的论文中,Newsham和Ptacek介绍了大量可有效躲避检测系统的技术。自那时起,该领域的新研究一直很少,感兴趣的也仅限于安全解决方案提供商或黑客社区的竞争对手。Newsham和Ptacek介绍的基础逃逸技术之一集中于IP碎片带来的挑战。IP碎片在RFC791标准中也有所说明,用于确保系统之间的互操作性以及处理系统间的不同网络拓扑(1981年出版的Postel)。采用IP碎片逃逸技术,攻击者