关于防火墙几种攻击方法的研究的论文.docVIP

　　关于防火墙几种攻击方法的研究的论文 　　[论文关键词]防火墙 网络攻击 包过滤 nat 代理 协议隧道 ftp-pasv 　　[论文摘要]通过对几种不同防火墙的攻击方法和原理进行研究，针对黑客攻击的方法和原理，我们能够部署网络安全防御策略，为构建安全稳定的网络安全体系提供了理论原理和试验成果。 　　 　　防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许。 　　从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此，事情没有我们想象的完美，攻击我们的是人，不是机器，聪明的黑客们总会想到一些办法来突破防火墙。 　　 　　一、包过滤型防火墙的攻击 　　 　　包过滤技术是一种完全基于网络层的安全技术,只能根据packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。 　　包过滤防火墙是在网络层截获网络packet，根据防火墙的规则表，来检测攻击行为。根据packet的源ip地址；目的ip地址；tcp/udp源端口；tcp/udp目的端口来过滤。.所以它很容易受到如下攻击。 　　 　　（一）ip欺骗 　　如果修改packet的源，目的地址和端口，模仿一些合法的packet就可以骗过防火墙的检测。如：我将packet中的源地址改为内部网络地址，防火墙看到是合法地址就会放行。 　　这种攻击应该怎么防范呢？ 　　如果防火墙能结合接口，地址来匹配，这种攻击就不能成功了。 　　eth1连接外部网络,eth2连接内部网络，所有源地址为内网地址的packet一定是先到达eth2，我们配置eth1只接受来自eth2的源地址为内网地址的packet，那么这种直接到达eth1的伪造包就会被丢弃。 　　 　　（二）分片伪造 　　分片是在网络上传输ip报文时采用的一种技术手段，但是其中存在一些安全隐患。ping of death, teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。 　　在ip的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有tcp端口号的信息。当ip分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的tcp信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。 　　工作原理弄清楚了，我们来分析：从上面可以看出，我们如果想穿过防火墙只需要第一个分片，也就是端口号的信息符合就可以了。 　　那我们先发送第一个合法的ip分片，将真正的端口号封装在第二个分片中，那样后续分片包就可以直接穿透防火墙，直接到达内部网络主机，通过我的实验，观察攻击过程中交换的数据报片断，发现攻击数据包都是只含一个字节数据的报文，而且发送的次序已经乱得不可辨别，但对于服务器tcp/ip堆栈来说，它还是能够正确重组的。 　　 　　二、nat防火墙的攻击 　　 　　这里其实谈不上什么攻击，只能说是穿过这种防火墙的技术，而且需要新的协议支持，因为这种方法的是为了让两个不同nat后面的p2p软件用户可以不通过端口映射直接进行连接，我们称为udp打洞技术。 　　udp打洞技术允许在有限的范围内建立连接。stun（the simple traversal of user datagram protocol through p]#tel91 　　trying91…. 　　connectedto91. 　　escapechar许icmp和udp分组自由出入，因此攻击者的恶意数据就能附带在正常的分组，绕过防火墙的认证，顺利地到达攻击目标主机。 　　 　　（二）利用ftp-pasv绕过防火墙认证的攻击 　　ftp-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如checkpoint的fire].机械工业出版社，2000. 　　[2]黎连业,张维.防火墙及其应用技术[m].北京：清华大学，2004. 　　[3]marcus goncalves. 防火墙技术指南[m].北京：机械工业出版社，2000. 　　[4]阎慧.防火墙原理与技术[m].北京：机械工业出版社，2004. 　　[5]王达.网管员必读网络安全（第2版）[m].北京：电子工业出版社，200