机密文件-[教学]客是怎样突破各种防火墙的.docVIP

駭客是怎樣突破各種防火牆的現在隨著人們的安全意識加強，防火牆一般都被公司企業採用來保障網路的安全，一般的攻擊者在有防火牆的情況下，一般是很難入侵的。下面談談有防火牆環境下的攻擊和偵測。 　　一 防火牆基本原理 　　首先，我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾，和狀態偵測的包過濾，應用層代理防火牆。但是他們的基本實現都是類似的。 　　︱ ︱---路由器-----網卡︱防火牆︱網卡︱----------內部網路︱ ︱ 　　防火牆一般有兩個以上的網路卡，一個連到外部（router)，另一個是連到內部網路。當打開主機網路轉發功能時，兩個網卡間的網路通訊能直接透過。當有防火牆時，他好比插在網卡之間，對所有的網路通訊進行控制。 　　說到訪問控制，這是防火牆的核心了：），防火牆主要透過一個訪問控制表來判斷的，他的形式一般是一連串的如下規則： 　　1 accept from+ 源地址，連接埠 to+ 目的地址，連接埠+ 采取的動作 　　2 deny ...........（deny就是拒絕。。) 　　3 nat ............(nat是地址轉換。後面說） 　　防火牆在網路層（包括以下的煉路層）接受到網路數據包後，就從上面的規則連表一條一條地匹配，如果符合就執行預先安排的動作了！如丟棄包。。。。 　　但是，不同的防火牆，在判斷攻擊行為時，有實現上的差別。下面結合實現原理說說可能的攻擊。 　　二 攻擊包過濾防火牆 　　包過濾防火牆是最簡單的一種了，它在網路層截穫網路數據包，根據防火牆的規則表，來偵測攻擊行為。他根據數據包的源IP地址；目的IP地址；TCP/UDP源連接埠；TCP/UDP目的連接埠來過濾！！很容易受到如下攻擊： 　　1 ip 欺騙攻擊： 　　這種攻擊，主要是修改數據包的源，目的地址和連接埠，模倣一些合法的數據包來騙過防火牆的偵測。如：外部攻擊者，將他的數據報源地址改為內部網路地址，防火牆看到是合法地址就放行了：）。可是，如果防火牆能結合接口，地址來匹配，這種攻擊就不能成功了：（ 　　2 d.o.s拒絕服務攻擊 　　簡單的包過濾防火牆不能跟蹤 tcp的狀態，很容易受到拒絕服務攻擊，一旦防火牆受到d.o.s攻擊，他可能會忙於處理，而忘記了他自己的過濾功能。：）你就可以饒過了，不過這樣攻擊還很少的。！ 　　3 分片攻擊 　　這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序，但是，只有第一個分片包含有TCP連接埠號的資訊。當IP分片包透過分組過濾防火牆時，防火牆隻根據第一個分片包的Tcp資訊判斷是否允許透過，而其他後續的分片不作防火牆偵測，直接讓它們透過。 　　這樣，攻擊者就可以透過先發送第一個合法的IP分片，騙過防火牆的偵測，接著封裝了惡意數據的後續分片包就可以直接穿透防火牆，直接到達內部網路主機，從而威脅網路和主機的安全。 　　4 木馬攻擊 　　對於包過濾防火牆最有效的攻擊就是木馬了，一但你在內部網路裝設了木馬，防火牆基本上是無能為力的。 　　原因是：包過濾防火牆一般隻過濾低連接埠（1-1024），而高連接埠他不可能過濾的（因為，一些服務要用到高連接埠，因此防火牆不能關閉高連接埠的），所以很多的木馬都在高連接埠打開等待，如冰河，subseven等。。。 　　但是木馬攻擊的前提是必須先上傳，運行木馬，對於簡單的包過濾防火牆來說，是容易做的。這裡不寫這個了。大概就是利用內部網路主機開放的服務漏洞。 　　早期的防火牆都是這種簡單的包過濾型的，到現在已很少了，不過也有。現在的包過濾採用的是狀態偵測技術，下面談談狀態偵測的包過濾防火牆。 　　三 攻擊狀態偵測的包過濾 　　狀態偵測技術最早是checkpoint提出的，在國內的許多防火牆都聲稱實現了狀態偵測技術。 　　可是：）很多是沒有實現的。到底什麼是狀態偵測？ 　　一句話，狀態偵測就是從tcp連接的建立到終止都跟蹤偵測的技術。 　　原先的包過濾，是拿一個一個單獨的數據包來匹配規則的。可是我們知道，同一個tcp連接，他的數據包是前後關聯的，先是syn包，-》數據包=》fin包。數據包的前後序列號是相關的。 　　如果割裂這些關係，單獨的過濾數據包，很容易被精心夠造的攻擊數據包欺騙！！！如nmap的攻擊掃描，就有利用syn包，fin包，reset包來探測防火牆後面的網路。！ 　　相反，一個完全的狀態偵測防火牆，他在發起連接就判斷，如果符合規則，就在記憶體登記了這個連接的狀態資訊（地址，port，選項。。）,後續的屬於同一個連接的數據包，就不需要在偵測了。直接透過。而一些精心夠造的攻擊數據包由於沒有在記憶體登記相