廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 9159 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
samuelc
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x14 鮮花 x692
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x1
文章表情[Server][討論] 如何突破防火牆設定
如何突破防火牆設定
此篇文章並非小弟原創,原作者已不可考,它是我網管筆記的一部份分享給有需要的人

現在隨著人們的安全意識加強,防火牆一般都被公司企業採用來保障網路的安全,一般的攻
擊者在有防火牆的情況下,一般是很難入侵的。下面談談有防火牆環境下的攻擊和檢測。

一 防火牆基本原理
首先,我們需要瞭解一些基本的防火牆實現原理。防火牆目前主要分包過濾,和狀態檢測的
包過濾,應用層代理防火牆。但是他們的基本實現都是類似的。
│ │---路由器-----網卡│防火牆│網卡│----------內部網路│ │
防火牆一般有兩個以上的網路卡,一個連到外部(router),另一個是連到內部網路。當打開
主機網路轉發功能時,兩個網卡間的網路通訊能直接通過。當有防火牆時,他好比插在網卡
之間,對所有的網路通訊進行控制。
說到訪問控制,這是防火牆的核心了:),防火牆主要通過一個訪問控制表來判斷的,他的
形式一般是一連串的如下規則:
1 accept from+ 源位址,埠 to+ 目的地址,埠+ 採取的動作
2 deny ...........(deny就是拒絕。。)
3 nat ............(nat是位址轉換。後面說)
防火牆在網路層(包括以下的煉路層)接受到網路資料包後,就從上面的規則連表一條一條
地匹配,如果符合就執行預先安排的動作了!如丟棄包。。。。
但是,不同的防火牆,在判斷攻擊行為時,有實現上的差別。下面結合實現原理說說可能的
攻擊。

二 攻擊包過濾防火牆
包過濾防火牆是最簡單的一種了,它在網路層截獲網路資料包,根據防火牆的規則表,來檢
測攻擊行為。他根據資料包的源IP位址;目的IP位址;TCP/UDP源埠;TCP/UDP目的埠來
過濾!!很容易受到如下攻擊:
1 ip 欺騙攻擊:
這種攻擊,主要是修改資料包的源,目的地址和埠,模仿一些合法的資料包來騙過防火牆
的檢測。如:外部攻擊者,將他的資料報源位址改為內部網路位址,防火牆看到是合法位址
就放行了:)。可是,如果防火牆能結合介面,位址來匹配,這種攻擊就不能成功了:(
2 d.o.s拒絕服務攻擊
簡單的包過濾防火牆不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火牆受到d.o.
s攻擊,他可能會忙於處理,而忘記了他自己的過濾功能。:)你就可以饒過了,不過這樣攻
擊還很少的。!
3 分片攻擊
這種攻擊的原理是:在IP的分片包中,所有的分片包用一個分片偏移欄位標誌分片包的順序
,但是,只有第一個分片包含有TCP埠號的資訊。當IP分片包通過分組過濾防火牆時,防火
牆只根據第一個分片包的Tcp資訊判斷是否允許通過,而其他後續的分片不作防火牆檢測,直
接讓它們通過。
這樣,攻擊者就可以通過先發送第一個合法的IP分片,騙過防火牆的檢測,接著封裝了惡意
資料的後續分片包就可以直接穿透防火牆,直接到達內部網路主機,從而威脅網路和主機的
安全。
4 木馬攻擊
對於包過濾防火牆最有效的攻擊就是木馬了,一但你在內部網路安裝了木馬,防火牆基本上
是無能為力的。
原因是:包過濾防火牆一般只過濾低埠(1-1024),而高埠他不可能過濾的(因為,一
些服務要用到高埠,因此防火牆不能關閉高埠的),所以很多的木馬都在高埠打開等
待,如冰河,subseven等。。。
但是木馬攻擊的前提是必須先上傳,運行木馬,對於簡單的包過濾防火牆來說,是容易做的
。這裏不寫這個了。大概就是利用內部網路主機開放的服務漏洞。
早期的防火牆都是這種簡單的包過濾型的,到現在已很少了,不過也有。現在的包過濾採用
的是狀態檢測技術,下面談談狀態檢測的包過濾防火牆。

..

訪客只能看到部份內容,免費 加入會員 或由臉書 Google 可以看到全部內容



[ 此文章被samuelc在2006-05-29 16:30重新編輯 ]



               
獻花 x0 回到頂端 [樓 主] From:台灣中華電信 | Posted:2005-08-18 22:11 |
CTW521125
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x17
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

雖然不想當駭客,
不過研究一下駭客的行為對自己的資安是有幫助的,
所以樓主的文章當然也必須拜讀研究囉!
感謝。


獻花 x0 回到頂端 [1 樓] From:台灣中華電信 | Posted:2005-09-29 23:04 |
admin0n
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x1 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

我不認為現在有有效的方法可以突破防火牆,
該怎麼說呢,我很少發現事件記錄當中,有記錄未開放PORTS的活動,
即使是XP SP2內建的軟體防火牆ICS,就已經夠防大部分的攻擊,
更不用說專業硬體式防火牆,
應該沒有人可以從這篇文章學會怎樣突破防火牆?


獻花 x0 回到頂端 [2 樓] From:臺灣臺北市 | Posted:2007-12-06 10:53 |
jack1984yw
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x95 鮮花 x150
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

小弟猜想
樓主只是把一些基本的傳達出來
知道有哪些方法可以會使用
但能不能突破
這有可能有點難度
謝謝樓主分享
有知道了一些知識


獻花 x1 回到頂端 [3 樓] From:臺灣 | Posted:2007-12-13 23:16 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.014837 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言