来源:http://www.hengtaiboyuan.com 作者:恒泰博远 时间:2014-08-11
多路径的TCP提高网络性能和弹性,但妨碍安全功能,如防火墙和深层数据包检测
今天的安全软件是无效的反对已经被苹果用它的Siri语音识别软件的新兴网络技术,根据研究发表在黑帽,本周黑客大会。
该技术被称为多路径的TCP(MPTCP),为TCP的改进后的兄弟姐妹,基石的互联网协议来传输计算机之间的数据包。思科和Juniper也提出MPTCP在一些装备。
不过,虽然TCP只能使用一个连接路径发送数据,MPTCP可以同时使用,如Wi-Fi无线和移动手机的数据连接,从而实现更佳的性能和弹性不同的连接路径。
MPTCP仍处于初期,和互联网工程任务组,它创建的互联网技术标准,还在研究中。但由于MPTCP已经是向后兼容的TCP,它的工作原理,以及苹果使用它的Siri。
问题是,拆分数据蒸过不同的连接路径带来棘手问题的安全技术,如防火墙和深层数据包检测软件,该软件是专为常规TCP,说凯瑟琳·皮尔斯,安全顾问Neohapsis。
MPTCP“可以用来打破几乎你在它以某种方式前投每个安全控制,”皮尔斯在上周四接受电话采访时说。 “由于这个推出,这将是巨大的,它不会改变路由,它改变了网络是如何工作的一些非常基本的方法。”
其中MPTCP的怪癖是,它能够消除特定IP地址的TCP数据流,Neohapsis写在其博客。因为数据可能来自多个IP地址,安全设备将无法看到的数据包的满流检测恶意行为。
“现在我们知道,没有任何工具可以做到这一点的,”皮尔斯说。
它改变了假设一个IP地址可以归结为一个单一的主机或客户端始终连接到特定服务器的模式,她说。
另一个问题是应用程序发送的数据包可以决定在哪个连接的数据包被发送。防火墙可能不能够确定是否有一个TCP流有关,另一个,皮尔斯说。
MPTCP是专为弹性,因此,如果一个数据流被阻断安全设备,该协议将试图找到办法解决它。这意味着接收数据的端点有较少的控制,并有可能接受不能数据流 - 至少在这一点上 - 被链接在一起进行分析。
该技术可以是一个噩梦的战斗僵尸网络,或者用来发送垃圾邮件和恶意软件散布破坏的计算机网络。混合使用MPTCP的分布式匿名服务,如托尔可以使数据流量“真的很难surveil,”皮尔斯说。
网络运营商可以用钝力和防御,因为它们在数据包报头指定为阻止MPTCP包,皮尔斯说,但是这不会是可行的,如果许多应用程序使用它。
网络具有支持MPTCP为了使应用程序能够利用它。有实现了多个操作系统,包括Linux,BSD和Android,皮尔斯说。
微软不支持它尚未针对Windows,这可能会设置多少开发商最终接受它的步伐。
本文链接:http://www.hengtaiboyuan.com/zxzx/content_370 转载请注明来自北京恒泰博远科技有限公司
您的位置 :