Уклонение (сетевая безопасность) - Evasion (network security)

В сетевой безопасности уклонение обходит устройство защиты информации, чтобы доставить эксплуатировать, атака, или другая форма вредоносное ПО в целевую сеть или систему без обнаружения. Уклонения обычно используются для противодействия сетевым системам обнаружения и предотвращения вторжений (IPS, IDS), но также могут использоваться для обхода межсетевых экранов и поражения анализ вредоносных программ. Другой целью уклонения может быть сбой устройства сетевой безопасности, что делает его неэффективным для последующих целевых атак.

Описание

Уклонения могут быть особенно неприятными, потому что хорошо спланированное и реализованное уклонение может позволить проводить полные сеансы в пакетах, которые уклоняются от IDS. Атаки, проводимые в таких сеансах, будут происходить прямо на глазах у администраторов сети и служб.

Системы безопасности оказываются неэффективными против хорошо продуманных методов уклонения, точно так же, как истребитель-невидимка может атаковать без обнаружения радаром и другими защитными системами.

Хорошая аналогия с уклонениями - это система, разработанная для распознавания ключевых слов в речевых образцах в телефонной системе, таких как «взлом системы X». Простым уклонением было бы использовать язык, отличный от английского, но который обе стороны все еще могут понять, и желательно использовать язык, на котором может говорить как можно меньше людей.

Атаки уклонения

С середины 1990-х годов известны различные продвинутые и целевые атаки с уклонением:

Оригинальный текст, описывающий атаки на системы IDS, появился в 1997 году.^[1]
Одно из первых исчерпывающих описаний атак было опубликовано Птачеком и Ньюшемом в техническом отчете 1998 года.^[2]
В 1998 году в журнале Phrack Magazine также была опубликована статья, в которой описаны способы обхода обнаружения сетевых вторжений.^[3]

Отчеты

Статья 1997 г.^[1] в основном обсуждает различные сценарии оболочки и символьные уловки, позволяющие обмануть IDS. Статья в журнале Phrack Magazine^[3] и технический отчет от Ptacek et al.^[2] обсуждает эксплойты протокола TCP / IP, уловки и другие. Более поздние дискуссии об уклонениях включают отчет Кевина Тимма.^[4]

Защита от уклонений

Задача защиты серверов от обходов состоит в том, чтобы смоделировать работу конечного хоста на устройстве сетевой безопасности, то есть устройство должно иметь возможность знать, как целевой хост будет интерпретировать трафик, и будет ли он вредным. Ключевым решением защиты от обходов является нормализация трафика на устройстве IDS / IPS.^[5]

В последнее время ведутся дискуссии о том, чтобы приложить больше усилий для исследования техник уклонения. Презентация на Hack.lu обсудили некоторые потенциально новые методы уклонения и способы применения нескольких методов уклонения для обхода устройств сетевой безопасности.^[6]

Смотрите также

Проект Metasploit
Уклонения в дикой природе блог об уловках, обнаруженных в утечке Shadow Brokers

[50ways-1] а ^б 50 способов победить вашу систему обнаружения вторжений

[ptacek-2] а ^б Птачек, Ньюшем: вставка, уклонение и отказ в обслуживании: ускользание от обнаружения сетевых вторжений, технический отчет, 1998.

[phrack-3] а ^б Защита от снифферов и систем обнаружения вторжений

[timm-4] Методы и тактика уклонения от IDS

[handley-5] М. Хэндли, В. Паксон, К. Крейбич, Обнаружение сетевых вторжений: уклонение, нормализация трафика и сквозная семантика протокола, Симпозиум по безопасности Usenix, 2001.

[hacklu-6] «Передовые методы обхода IPS на основе сети». Архивировано из оригинал на 2011-07-22. Получено 2010-10-11.

[1]

[2]

[3]

[4]

[5]

[6]