如何突破防火墙设定
此篇文章并非小弟原创,原作者已不可考,它是我网管笔记的一部份分享给有需要的人
现在随着人们的安全意识加强,防火墙一般都被公司企业采用来保障网路的安全,一般的攻
击者在有防火墙的情况下,一般是很难入侵的。下面谈谈有防火墙环境下的攻击和检测。
一 防火墙基本原理
首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的
包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。
│ │---路由器-----网卡│防火墙│网卡│----------内部网路│ │
防火墙一般有两个以上的网路卡,一个连到外部(router),另一个是连到内部网路。当打开
主机网路转发功能时,两个网卡间的网路通讯能直接通过。当有防火墙时,他好比插在网卡
之间,对所有的网路通讯进行控制。
说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,他的
形式一般是一连串的如下规则:
1 accept from+ 源位址,埠 to+ 目的地址,埠+ 采取的动作
2 deny ...........(deny就是拒绝。。)
3 nat ............(nat是位址转换。后面说)
防火墙在网路层(包括以下的炼路层)接受到网路资料包后,就从上面的规则连表一条一条
地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。
但是,不同的防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说说可能的
攻击。
二 攻击包过滤防火墙
包过滤防火墙是最简单的一种了,它在网路层截获网路资料包,根据防火墙的规则表,来检
测攻击行为。他根据资料包的源IP位址;目的IP位址;TCP/UDP源埠;TCP/UDP目的埠来
过滤!!很容易受到如下攻击:
1 ip 欺骗攻击:
这种攻击,主要是修改资料包的源,目的地址和埠,模仿一些合法的资料包来骗过防火墙
的检测。如:外部攻击者,将他的资料报源位址改为内部网路位址,防火墙看到是合法位址
就放行了:)。可是,如果防火墙能结合介面,位址来匹配,这种攻击就不能成功了:(
2 d.o.s拒绝服务攻击
简单的包过滤防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.
s攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不过这样攻
击还很少的。!
3 分片攻击
这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移栏位标志分片包的顺序
,但是,只有第一个分片包含有TCP埠号的资讯。当IP分片包通过分组过滤防火墙时,防火
墙只根据第一个分片包的Tcp资讯判断是否允许通过,而其他后续的分片不作防火墙检测,直
接让它们通过。
这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意
资料的后续分片包就可以直接穿透防火墙,直接到达内部网路主机,从而威胁网路和主机的
安全。
4 木马攻击
对于包过滤防火墙最有效的攻击就是木马了,一但你在内部网路安装了木马,防火墙基本上
是无能为力的。
原因是:包过滤防火墙一般只过滤低埠(1-1024),而高埠他不可能过滤的(因为,一
些服务要用到高埠,因此防火墙不能关闭高埠的),所以很多的木马都在高埠打开等
待,如冰河,subseven等。。。
但是木马攻击的前提是必须先上传,运行木马,对于简单的包过滤防火墙来说,是容易做的
。这里不写这个了。大概就是利用内部网路主机开放的服务漏洞。
早期的防火墙都是这种简单的包过滤型的,到现在已很少了,不过也有。现在的包过滤采用
的是状态检测技术,下面谈谈状态检测的包过滤防火墙。
..
访客只能看到部份内容,免费 加入会员 或由脸书 Google 可以看到全部内容