引言:
通过对不同防火墙的攻击方法和原理进行研究, 为构建安全稳定的网络安全体系提供了理论原理和试验成果。
最早使用的一种防火墙技术。包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道, 它把这两层作为数据监控的对象, 对每个数据包的头部、协议、地址、端口、类型等信息进行分析, 并与预先设定好的防火墙过滤规则进行核对, 一旦发现某个包的某个或多个部分与过滤规则匹配且条件为“阻止”时, 这个包就会被丢弃。后来人们对包过滤技术进行了改进, 称为“动态包过滤”。动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上, 会对已经成功与计算机连接的报文传输进行跟踪, 并且判断该连接发送的数据包是否会对系统构成威胁。一旦触发其判断机制, 防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改, 从而阻止该有害数据的继续传输。
这种方法是为了让两个不同NAT后面的p2p软件用户可以不通过端口映射直接进行连接, 我们称为UDP打洞技术。
此技术允许在有限的范围内建立连接。协议实现了一
种打洞技术可以在有限的情况下允许对NAT行为进行自动检测然后建立UDP连接。在UDP打洞技术中, NAT分配的外部端口被发送给协助直接连接的第三方。在NAT后面的双方都向对方的外部端口发送一个UDP包, 这样就在NAT上面创建了端口映射, 双方就此可以建立连接。一旦连接建立, 就可以进行直接的UDP通信了。但是UDP连接不能够持久连接。UDP是无连接的并且没有对谁明确的通信。一般地, NAT见了的端口映射, 如果一段时间不活动后就是过期。为了保持UDP端口映射, 必须每隔一段时间就发送UDP包, 就算没有数据的时候, 只有这样才能保持UDP通信正常。另外很多防火墙都拒绝任何的外来UDP连接。
代理防火墙运行在应用层, 攻击的方法很多。黑客经常利用这些安全漏洞获得Win Gate的非授权Web和Socks的访问, 从而伪装成Win Gate主机的身份对下一个攻击目标发动攻击。
某些Win Gate版本在误配置情况下, 允许外部主机完全匿名地访问因特网。因此, 外部攻击者就可以利用Win Gate主机来对Web服务器发动各种Web攻击, 同时由于Web攻击的所有报文都是从80号Tcp端口穿过的, 因此, 很难追踪到攻击者的来源。
检测Win Gate主机是否有这种安全漏洞的方法如下:
(1) 以一个不会被过滤掉的方式连接到因特网上。
(2) 把浏览器的代理服务器地址指向待测试的Win Gate主机。
在Win Gate的缺省配置中, Socks代理同样存在安全漏洞。与打开的Web代理一样, 外部攻击者可以利用Socks代理访问因特网。
协议隧道的攻击思想类似于VPN的实现原理, 攻击者将一些恶意的攻击Packet隐藏在一些协议分组的头部, 从而穿透防火墙系统对内部网络进行攻击。
如许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。在实际攻击中, 攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端, 而后攻击者就可以通过lokid客户端将希望远程执行的攻击命令 (对应IP分组) 嵌入在ICMP或UDP包头部, 再发送给内部网络服务端lokid, 由它执行其中的命令, 并以同样的方式返回结果。
FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。如Check Point的Firewall-1, 在监视FTP服务器发送给客户端的包的过程中, 它在每个包中寻找“227”这个字符串。如果发现这种包, 将从中提取目标地址和端口, 并对目标地址加以验证, 通过后, 将允许建立到该地址的TCP连接。
反弹木马是对付防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机, 由于连接是从内部发起的, 防火墙都认为是一个合法的连接, 因此基本上防火墙的盲区就是这里了。
简单的防火墙不能跟踪tcp的状态, 很容易受到拒绝服务攻击, 一旦防火墙受到dos攻击, 它可能会忙于处理, 而忘记了自己的过滤功能。如IP欺骗DOS攻击:这种攻击利用TCP协议的RST位来实现, 使用IP欺骗, 迫使a.a.a.a服务器把合法用户的连接复位, 影响合法用户的连接。假设现在有一个合法用户已经同服务器建立了正常的连接, 攻击者构造攻击的TCP数据, 伪装自己的IP为a.a.a.a, 并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后, 认为从a.a.a.a发送的连接有错误, 就会清空缓冲区中已建立好的连接。这时, 合法用户a.a.a.a再发送合法数据, 服务器就已经没有这样的连接了, 该用户就被拒绝服务而只能重新开始建立新的连接。
黑客攻击防火墙的过程上看, 大概可以分三类。一是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。二是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制, 从而破坏防火墙和内部网络。三是寻找、利用防火墙系统实现和设计上的安全漏洞, 从而有针对性地发动攻击。
高安全性的防火墙可以让用户无忧, 目前各大厂商正在朝这个方向努力, 我相信防火墙技术将会越来越强。
摘要:因特网的发展给人们的生活带来了方便, 同时因特网也面临着威胁。因此如何使用有效的方法降低网络威胁越来越受到人们的关注。本文阐述了防火墙的攻击方法, 指出防火墙的发展方向。构建一个个人防火墙, 就可以实现对内部网络的保护。
关键词:防火墙,特洛伊木马,网络安全,NAT,协议隧道
[1] 阎慧。防火墙原理与技术[M]。北京:机械工业出版社, 2004
[2] 黎连业, 张维。防火墙及其应用技术[M]。北京:清华大学, 2004
推荐阅读:
防火墙的知识介绍防火墙技术07-25
打造更安全的防火墙WEB安全07-22
新的建筑设计防火规范09-27
博物馆、展览馆的防火06-17
对普通教室的防火要求有哪些?07-11
被动防火措施05-25
防火安全经验06-08
防火常识教案06-24
防火作文09-12
学校防火总结09-23
