躲避技术新形态

　　Boltz表示，简单躲避技术有很多中，其中之一便是IP片段。攻击者会将含有恶意软件的包分为许多片段，寄希望于IPS不会将这些数据包重新组合，因此也就无法监测到其中的恶意软件并让它们安然通过。今天，多数入侵防御系统中包含的引擎可以重组被拆成片段的包并且对其加以筛选。

　　Boltz指出，URL混淆也是一种简单躲避技术，即对URL进行细微的修改，使该修改过的URL能够通过IPS，但并不至于修改到目标机器无法使用的程度。目前的许多IPS都已经能够应对此类躲避技术。

　　但是他说，如果将几种这些技术组合在一起，就可以很容易地绕过IPS。Stonesoft已经遇到了一些可以列入此类别的新型简单躲避技术。例如，通过使用自己设计的TCP/IP栈，Stonesoft公司的研究人员可以利用TCP时间加权状态来通知接收端的机器在多长的时间内打开TCP端口，准备迎接后续的通信。 通过连接至目标机器并立即关闭会话，该TCP/IP栈可以通过仍然打开的端口启动一个新的会话并利用它来发送恶意软件。由于IPS已经检查了初期连接的正常握手和状态信息，因此它会让后续的流量通过。他说：“这是人们为了让IPS运行速度更快而采取的一种捷径方法。”

　　Stonesoft公司一直将其AET工具当作公司的商业机密，不允许将其拷贝给CERT，甚至没有交给ICSA用于测试的目的。 Eeronen说，CERT-FI正在向受AET影响的有关厂商发出警报，希望它们能够采取措施加以防范。和其它此类通知一样，CERT-FI给厂商留出了一定的响应时间。他说，最终，即使所有厂商都没有升级其AET防御措施，CERT-FI也会向其发出正式咨询意见。他指出：“我们会与厂商沟通，让它们知道再拖延下去也不会有什么实际的好处。”

　　Stonesoft公司今天宣布的情况与CERT-FI的正式咨询意见并不完全一致，但他指出这是因为Stonesoft公司只是一家厂商，而非研究机构。他说：“这个问题有点特殊，而他们并不是拥有自身商业利益的商业实体。” 他希望这些厂商能够在年底前解决所有的问题。

　　Boltz说，依赖IPS的企业应与自己的IPS厂商进行沟通，确定其产品是否在AET面前存在漏洞。Walsh认为，总体而言，企业应确保其IPS软件已经升级至最新状态，并且了解产品的认证情况及这些认证的内容。例如，有些设备可能获得了ICSA的认证，但客户应弄清楚其认证时通过的是哪些类型的测试。