对一款国家级内容过滤系统Dos安全缺陷分析.docVIP

对一款国家级内容过滤系统Dos安全缺陷分析 via GFW BLOG by GFW Blog on 1/7/10 作者：jianxin?? 来源：/dos-with-xxx.html 对某款国家级内容过滤系统Dos安全缺陷分析 Author: jianxin [80sec]EMail: jianxin#80Site: Date: 2009-1-2From: /release/dos-with-XXX.txt [ 目录 ] 0×00 前言0×01 know it，了解这款内容过滤系统0×02 Hack it，对防火墙类ids的一些安全研究0×03 后话 0×00 前言 最近在学习网络基础知识，秉承Hack to learn的作风，想对学习做个总结就想到分析一些网络设备的安全问题来作为一次总结。相信对于某款国家级内容过滤系统大家都不陌生，也被称为国家边界防 火墙，其本质上只是一款强大的入侵检测系统，并且在某些行为发生时对网络攻击进行实时的联动阻断。这里对它的作用并不做探讨，对如何绕过它也不做分析，这 里仅仅是将它看作一款功能强大的国家级IPS，从技术角度来讨论下这类IPS在关键网络部署时可能存在的一些安全问题以及对普通网站的影响。 0×01 know it，了解这款内容过滤系统 同一般的入侵检测系统或者其他号称网关级别过滤系统类似，它定义了一些策略以阻止某些危险的网络访问，其策略包含静态封禁也包含动态封禁，譬如对于 Google和Yahoo类搜索引擎来说，国内用户在使用这些站点时如果触发了敏感的关键词的话，其IP就会被动态封禁一段时间，几分钟之类将不能再使用 Google，这里的关键词就是被防火墙所定义的危险行为，譬如拿关键词Freenet/freenet来说，在Google里进行一次搜索请求之后就会 发现Google在几分钟之内将不再能被访问，多余所有其他处于国外的服务器效果也是一样。我分析的整个过程如下: 首先对正常的一次Google访问抓包，可以看到结果如下： bt ~ # tcpdump -vv -nn -S host 03 and port 80tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes22:39:26.261092 IP (tos 0×0, ttl 64, id 33001, offset 0, flags [DF], proto TCP (6), length 60) .44297 03.80: S, cksum 0xcc0f (correct), 1790346900:1790346900(0) win 5840 22:39:26.349797 IP (tos 0×0, ttl 50, id 41053, offset 0, flags [none], proto TCP (6), length 60) 03.80 .44297: S, cksum 0×3698 (correct), 3974796664:3974796664(0) ack 1790346901 win 5672 22:39:26.350452 IP (tos 0×0, ttl 64, id 33002, offset 0, flags [DF], proto TCP (6), length 52) .44297 03.80: ., cksum 0×79d7 (correct), 1790346901:1790346901(0) ack 3974796665 win 365 22:39:36.161454 IP (tos 0×0, ttl 64, id 33003, offset 0, flags [DF], proto TCP (6), length 67) .44297 03.80: P, cksum 0xa1a9 (correct), 1790346901:1790346916(15) ack 3974796665 win 365 22:39:36.248632 IP (tos 0×0, ttl 50, id 41053, offset 0, flags [none], proto TCP (6), length 52) 03.80 .44297: ., cksum 0×4a9a (correct), 3974796665:3974796665(0) ack 1790346916 win 89 22:39:37.476626 IP (tos 0×0, ttl 64, id 33004, offset 0, flags [DF], proto TCP (6), length 53) .44297