如何突破各种防火墙的防护

  如今随着人们的宁静认识加强，防火墙一样平常都被公司企业接纳来保障网络的宁静，一样平常的攻击者在有防火墙的环境下，一样平常是很难入侵的。下面谈谈有防火墙环境下的攻击和检测。
  一 防火墙根本原理
  起首，我们必要相识一些根本的防火墙完成原理。防火墙目前主要分包过滤，和状态检测的包过滤，使用层署理防火墙。但是他们的根本完成都是雷同的。
  │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │
  防火墙一样平常有两个以上的网络卡，一个连到外部（router)，另一个是连到内部网络。当翻开主机网络转发功能时，两个网卡间的网络通讯能间接经过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯举行控制。
  说到访问控制，这是防火墙的焦点了：），防火墙主要经过一个访问控制表来判断的，他的情势一样平常是一连串的如下规则：
  1 accept from+ 源地点，端口 to+ 目的地点，端口+ 接纳的行动
  2 deny ...........（deny便是拒绝。。)
  3 nat ............(nat是地点转换。后面说）
  防火墙在网络层（包括以下的炼路层）接受到网络数据包后，就从上面的规则连表一条一条地立室，如果符合就执行事后安排的行动了！如抛弃包。。。。
  但是，不同的防火墙，在判断攻击行为时，有完成上的差异。下面联合完成原理说说大约的攻击。
  二 攻击包过滤防火墙
  包过滤防火墙是最简略的一种了，它在网络层截获网络数据包，凭据防火墙的规则表，来检测攻击行为。他凭据数据包的源IP地点；目的IP地点；TCP/UDP源端口；TCP/UDP目的端口来过滤！！很容易受到如下攻击：
  1 ip 诱骗攻击：
  这种攻击，主要是修正数据包的源，目的地点和端口，模仿一些合法的数据包来骗过防火墙的检测。如：外部攻击者，将他的数据报源地点改为内部网络地点，防火墙看到是合法地点就放行了：）。但是，如果防火墙能联合接口，地点来立室，这种攻击就不能成功了：（
  2 d.o.s拒绝服务攻击
  简略的包过滤防火墙不能跟踪 tcp的状态，很容易受到拒绝服务攻击，一旦防火墙受到d.o.s攻击，他大约会忙于处置惩罚，而遗忘了他本身的过滤功能。：）你就可以饶过了，不外这样攻击还很少的。！
  3 分片攻击
  这种攻击的原理是：在IP的分片包中，所有的分片包用一个分片偏移字段标记分片包的次序，但是，只有第一个分片包罗有TCP端口号的信息。当IP分片包经过分组过滤防火墙时，防火墙只凭据第一个分片包的Tcp信息判断是否容许经过，而其他后续的分片不作防火墙检测，间接让它们经过。
  这样，攻击者就可以经过先发送第一个合法的IP分片，骗过防火墙的检测，接着封装了歹意数据的后续分片包就可以间接穿透防火墙，间接到达内部网络主机，从而要挟网络和主机的宁静。
  4 木马攻击
  对付包过滤防火墙最有效的攻击便是木马了，一但你在内部网络安装了木马，防火墙根本上是无能为力的。
  缘故原由是：包过滤防火墙一样平常只过滤低端口（1-1024），而高端口他不行能过滤的（因为，一些服务要用到高端口，因此防火墙不能封闭高端口的），以是很多的木马都在高端口翻开等待，如冰河，subseven等。。。
  但是木马攻击的前提是必须先上传，运行木马，对付简略的包过滤防火墙来说，是容易做的。这里不写这个了。大约便是利用内部网络主机开放的服务漏洞。
  早期的防火墙都是这种简略的包过滤型的，到如今已很少了，不外也有。如今的包过滤接纳的是状态检测技能，下面谈谈状态检测的包过滤防火墙。
  三 攻击状态检测的包过滤
  状态检测技能最早是checkpoint提出的，在海内的很多防火墙都宣称完成了状态检测技能。
  但是：）很多是没有完成的。到底什么是状态检测？
  一句话，状态检测便是从tcp毗连的创建到停止都跟踪检测的技能。
  原先的包过滤，是拿一个一个单独的数据包来立室规则的。但是我们晓得，统一个tcp毗连，他的数据包是前后联系干系的，先是syn包，-》数据包=》fin包。数据包的前后序列号是相关的。
  如果割裂这些干系，单独的过滤数据包，很容易被经心够造的攻击数据包诱骗！！！如nmap的攻击扫描，就有利用syn包，fin包，reset包来探测防火墙后面的网络。！
  相反，一个完全的状态检测防火墙，他在提倡毗连就判断，如果符合规则，就在内存登记了这个毗连的状态信息（地点，port，选项。。）,后续的属于统一个毗连的数据包，就不必要在检测了。间接经过。而一些经心够造的攻击数据包由于没有在内存登记相应的状态信息，都被抛弃了。这样这些攻击数据包，就不能饶过防火墙了。
  说状态检测必须提到静态规则技能。在状态检测里，接纳静态规则技能，原先高端口的问题就可以解决了。完成原理是：平时，防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发明入侵的切入点，但是为了不影响正常的服务，防火墙一但检测到服务必须开放高端口时，如（ftp协议，irc等），防火墙在内存就可以静态地天加一条规则翻开相关的高端口。等服务完成后，这条规则就又被防火墙删除。这样，既保障了宁静，又不影响正常服务，速度也快。！
  一样平常来说，完全完成了状态检测技能防火墙，智能性都比力高，一些扫描攻击还能自动的反响，因此，攻击者要很小心才不会被发明。
  但是，也有不少的攻击手段对付这种防火墙的。
  1 协议隧道攻击
  协议隧道的攻击头脑雷同与VPN的完成原理，攻击者将一些歹意的攻击数据包隐藏在一些协议分组的头部，从而穿透防火墙体系对内部网络举行攻击。
  例如，很多简略地容许ICMP回射恳求、ICMP回射应对和UDP分组经过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid（攻击的客户端和服务端）是实行这种攻击的有效的东西。在现实攻击中，攻击者起首必须设法在内部网络的一个体系上安装上lokid服务端，尔后攻击者就可以经过loki客户端将盼望远程执行的攻击命令（对应IP分组）嵌入在ICMP或UDP包头部，再发送给内部网络服务端lokid，由它执行其中的命令，并以异样的方式返回结果。由
  于很多防火墙容许ICMP和UDP分组自由收支，因此攻击者的歹意数据就能附带在正常的分组，绕过防火墙的认证，顺利地到达攻击目标主机下面的命令是用于启动lokid服务器步伐：
  lokid-p–I–vl
  loki客户步伐则如下启动：
  loki–d172.29.11.191(攻击目标主机)-p–I–v1–t3
  这样，lokid和loki就联合提供了一个穿透防火墙体系访问目标体系的一个后门。
  2 利用FTP-pasv绕过防火墙认证的攻击
  FTP-pasv攻击是针对防火墙实行入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1，在监督FTP服务器发送给客户端的包的历程中，它在每个包中探求"227"这个字符串。如果发明这种包，将从中提取目标地点和端口，并对目标地点加以验证，经过后，将容许创建到该地点的TCP毗连。
  攻击者经过这个特性，可以设法毗连受防火墙掩护的服务器和服务。细致的描述可见http://www.checkpoint.com/techsupport/alerts/pasvftp.html。
  3 反弹木马攻击
  反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地毗连外部攻击者控制的主机，由于毗连是从内部提倡的，防火墙（任何的防火墙）都以为是一个合法的毗连，因此根本上防火墙的盲区便是这里了。防火墙不能区分木马的毗连和合法的毗连。
  但是这种攻击的局限是：必须起首安装这个木马！！！所有的木马的第一步都是关键！！！
  四 攻击署理
  署理是运行在使用层的防火墙，他本质是启动两个毗连，一个是客户到署理，另一个是署理到目的服务器。
  完成上比力简略，和后面的一样也是凭据规则过滤。由于运行在使用层速度比力慢/1
  攻击署理的方法很多。
  这里就以wingate为例，简略说说了。（太累了）
  WinGate是目前使用非常广泛的一种Windows95/NT署理防火墙软件，内部用户可以经过一台安装有WinGate的主机访问外部网络，但是它也存在着几个宁静软弱点。
  黑客每每利用这些宁静漏洞得到WinGate的非受权Web、Socks和Telnet的访问，从而伪装成WinGate主机的身份对下一个攻击目标发起攻击。因此，这种攻击非常难于被跟踪和记载。
  招致WinGate宁静漏洞的缘故原由大多数是办理员没有凭据网络的现实环境对WinGate署理防火墙软件举行公道的设置，只是简略地从缺省设置安装完毕后就让软件运行，这就给攻击者无隙可乘。
  1 非受权Web访问
  某些WinGate版本（如运行在NT体系下的2.1d版本）在误设置装备摆设环境下，容许外部主机完全匿名地访问因特网。因此，外部攻击者就可以利用WinGate主机来对Web服务器发起各种Web攻击（ 如CGI的漏洞攻击等），同时由于Web攻击的所有报文都是从80号Tcp端口穿过的，因此，很难追踪到攻击者的泉源。
  检测
  检测WinGate主机是否有这种宁静漏洞的方法如下：
  1) 以一个不会被过滤失的毗连（譬如说拨号毗连）毗连到因特网上。
  2) 把欣赏器的署理服务器地点指向待测试的WinGate主机。
  如果欣赏器能访问到因特网，则WinGate主机存在着非受权Web访问漏洞。
  2 非受权Socks访问
  在WinGate的缺省设置装备摆设中，Socks署理（1080号Tcp端口）异样是存在宁静漏洞。与翻开的Web署理（80号Tcp端口）一样，外部攻击者可以利用Socks署理访问因特网。
  防范
  要防备攻击WinGate的这个宁静软弱点，办理员可以限制特定服务的捆绑。在多宿主（multi homed）体系上，执行以下步调以限定怎样提供署理服务。
  1选择Socks或WWWProxyServer属性。
  2选择Bindings标签。
  3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮，并指定本WinGate服务器的内部接口。
  非受权Telnet访问
  它是WinGate最具要挟的宁静漏洞。经过毗连到一个误设置装备摆设的WinGate服务器的Telnet服务，攻击者可以利用他人的主机隐藏本身的踪迹，随意地发起攻击。
  检测
  检测WinGate主机是否有这种宁静漏洞的方法如下：
  1.利用telnet实验毗连到一台WinGate服务器。
  [root@happy/tmp]#telnet172.29.11.191
  Trying172.29.11.191….
  Connectedto172.29.11.191.
  Escapecharacteris‘^]’.
  Wingate>10.50.21.5
  2.如果接受到如上的响应文本，那就输出待毗连到的网站。
  3.如果看到了该新体系的登录提示符，那么该服务器是软弱的。
  Connectedtohost10.50.21.5…Connected
  SunOS5.6
  Login:
  对策
  防备这种宁静软弱点的方法和防备非受权Socks访问的方法雷同。在WinGate中简略地限制特定服务的捆绑就可以解决这个问题。一样平常来说，在多宿主（multihomed）体系办理员可以经过执行以下步调来完成：
  1.选择TelnetSever属性。
  2.选择Bindings标签。
  3.按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮，并指定本WinGate服务器的内部接口。
  五 后话
  有防火墙的攻击不但是上面的一点，我有什么写的不对的，各人指正。
  不停以来，黑客都在研究攻击防火墙的技能和手段，攻击的伎俩和技能越来越智能化和多样化。但是就黑客攻击防火墙的历程上看，大约可以分为三类攻击。
  第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙体系并且找出此防火墙体系容许哪些服务。我们叫它为对防火墙的探测攻击。
  第二类攻击防火墙的方法是接纳地点诱骗、TCP序号攻击等伎俩绕过防火墙的认证机制，从而 对防火墙和内部网络破坏。
  第三类攻击防火墙的方法是探求、利用防火墙体系完成和计划上的宁静漏洞，从而有针对性地发起攻击。这种攻击难度比力大，但是破坏性很大。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：