【IT168 编译】高级闪避技术(AET)很少获得应有的关注，因为它最初是由一家厂商(Stonesoft)创造出来的术语，主要用来描述攻击者如何击败其他安全厂商。

　　现在，为了证明这一点，Stonesoft出具了南威尔士大学撰写的一篇关于《入侵防御系统中拦截闪避的有效性》的论文。这篇论文总结称，“在这个试验中，我们展示过已经安装的部分IPS，对使用高级闪避技术的攻击提供了有限的保护。”

　　该试验包含来自Sourcefire，IBM，PaloAlto，Fortigate，McAfee，Checkpoint，瞻博网络，思科和Stonesoft的装置;而且使用了两个老的漏洞(CVE-2008-4250和CVE-2004-1315)，这两个漏洞应该通过修补好的IPS装置来结束。确实，所有设备都可以有效阻止针对这些漏洞的简单攻击;但是使用Stonesoft的Evader(专门用来部署基础闪避技巧的工具)后，结果截然不同。

　　这篇论文描述了一种闪避技术。它解释称，IPS装置在检测到入侵时可以采取行动——但是当执行恶意攻击的病毒的有效载荷被分解到多个数据包时，它们可能不能识别出攻击。在这种情况下，它在通过IPS前都是“不可见的”，而“接收数据包的主机却会收集有效载荷，然后重组信息。”这份报告指出“一次不被察觉的闪避为成功的入侵行为创造了较好机会，之后，攻击者利用它偷取数据或将其作为僵尸网络的资源使用。”

　　这个测试本身展示了针对漏洞CVE-2008-4250的2759次攻击，大部分设备阻止了98.6%或以上的攻击。只有Sourcefire的拦截率较低，为93.33%。排名在前两位的设备分别是思科(99.9%)和Stonesoft(99.6%)的产品。

　　但是，当闪避技巧被用到漏洞CVE-2004-1315上时，这些装置的成功率就降低。这一次，排名前两位的两个装置是Stonesoft(面对2638次攻击，阻止了99.7%)和Fortigate(阻止了99.2%)。尽管如此，剩下的七款装置中，没有哪款的拦截率超过66%，McAfee装置的拦截率最低，为50.1%。

　　南威尔士大学的论文总结称，“闪避技巧是网络安全中的问题。另一方面，高级闪避技巧被IPS行业的很多人所忽视，而这种忽视导致了很多难以被检测到的攻击。”它警告称，“即便一次单独闪避的成功也足以让活跃的有效负载通过，这就让网络以及里面包含的信息处于危险之中。”报告还称，网络安全社区应该引起重视，IPS系统应该更容易察觉可能被用到的闪避技巧和新旧漏洞的挖掘，并对此作出响应。