接下来了解一下AET技术的能量,为什么AET出现这么多年炒架不热的原因。那么AET到底有多大能量呢?我们都知道TCPIP是最基础的协议,最开始的时候质量很差,为了传输好网络通讯,尽量能通过就通过,发现了错包坏包尽量能够实现用途所以我们都知道在TCP协议中有一个,发数据包的时候比较大,我们发成几个字节,正常一块一块发。作第一个环节上随便加了一个协议,那么可能是150长也可能是80个长度,第一个分片发过去以后,接触到这个数据,发现重叠时候怎么办?取的是前面那,第一个加在一起和第二个重叠了,那就会覆盖掉,那么我们在这个设备商会发现接收的数据不对。在这种被污染的情况下检测是不行的,有很多人会说如果我的目标接受比如说Windows,这是微软做的,第二个分片在后面,自然不会选择重叠部分,而是选择原来的部分。
我们都知道一般的安全厂家包括IPS厂商,不可能做两个协议的,一个是前面的一个是后面的,但是一般会选择一个。有一部分的情况,我只要用各种方法进去发什么无所谓,这只是利用了一个基本的情况,在这种情况下我的IPS成长性就看到了,任何一个发送的都可以用这个方式来选取。
既然AET技术有这么大能量,躲避安全网络检测设备的方法,我有四个,实际上这也是我们攻击的时候常用的,我们要把漏洞应用代码放出去,第一个方法是改变内核,一说要攻击就说没有门类做,我想在座各位掌握一些信息是比较难的,普通人员掌握的比较少,你能够发现新漏洞,能够编写漏洞的最新的,还有一些国家的漏洞,该宾自我特征的方法是一个好方法,但是用什么两难。第二个我既然改变特征不行我可以改变攻击模式,把扫描改成慢扫描,这种攻击方法的改变是一个好方法,也是比较常用的。还有第三种方法就是干扰中间的安全设施和监测方法在这种方法中我们最常用,因为这个方法有一个特点,我攻击目标的时候没有协议我没有办法直接加密,我加密以后中间设备不认识,这就需要利用现有协议和渠道把东西送过去,还可以用方法,比如分片重组、延迟发送。更多的是用安全设备各种注入与填充。
超时发送数据分片,缓冲时间短,一般时候比较短,这时候用什么方法呢?正常先发一个分片,那么我等到15秒的时候安全设备进去,分片留下来,这个时候再发第二个分片,这时候发现IPS只存了第二个分片,在目标的时候把我传输的组装起来,中间的IPS只剩下一半了,这是我说的访问时间比较短的时候。访问时间比较长的时候恩等候一段时间发现目标超时了,不正常,这时候我再发送两个不正常的,填空一下,我们发现在IPS这里变成完整包了,这时候我再重发,这个时候24和之前的24是不一样的,真实的过来以后只有两个,到了目标的时候45到65的时候还没有被攻击掉。
这个是正常的web的请求,下面来讲,把这个请求分三块比如说这里有一个字符是重叠,我们会发现这个每个字重叠以后再分成三块,对于中间安全性恢复比较困难,这种尤其是对早期的分包检测差不多。但是这个分片加重叠是一个例子,这个比较有意思,里面就随机加了一些,有很多利用的浏览器,相对来说加一些,让大家看到。这里有很多很多的,我们目标严格来讲叫什么?协议设计是比较宽松的条件,现在却被用来攻击。
11年的时候我们做AET的小结,第一协议分片,针对单包检测的IPS,第二数据重叠IPS多采用UNIX前向取数据;第三前序干扰:握手后先发送干扰报文,也可能包含特征,但顺序号混乱,让IPS处理机制混乱,再发送正常攻击数据,乱序发送听了,超时发送说了,第六个垃圾填入,握手后发垃圾数据使数据包超长,IPS缓冲区不足,无法检测,第七就是瞒天过海,DDOS制造混乱,先发送特征数据包。
除了AET具体的攻击技巧,AET技术有一个特点,不同的参数,不仅仅是自主的可以用,相互之间也可以混合用。这个是通过网络共享,磁盘传播的,所以用到很多协议,用到以后我们在TTP里也听了,到SMD也可以分配,这个不同参数都有,那么这种组合起来的方式你会发现非常难的进行管理。如果用传统的协议是很难的,这给我们现在安全问题提出一个问题,对于组合的来说非常困难。
AET技术不仅仅给了我们工具方法,实际上给了我们一种模式,不仅要关注攻击的目标,还可以关注保护目标周围的情况,尤其是使用安全的设备。那么现在提到了,实际上还有一个新的技术,尽管我们能够对目标攻击比较难,我们倒数一些大厂家的证书,以他们的名义搞,比如说看到微软的,360的,我们不仅要安装程序还要直接覆盖客户,还要找关键敏感的问题,这种情况下用以前身份做的话很难发现。
因为很多安全厂家,对于有了证书以后是可以理解的,本身360这个软件本身对系统肯定是有帮助。
扫一扫
1209
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
