突破防火墙.docVIP

防火墙介绍： 防火墙类型：包过滤防火墙，状态检测防火墙，应用层代理防火墙 　　防火墙一般有两个以上的网络卡，一个连到外部(router)，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通讯能直接通过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯进行控制。 　　通过一个访问控制表来判断的，他的形式一般是一连串的如下规则： 　　1 accept from +源地址，端口to +目的地址，端口 + 采取的动作 　　2 deny ...........(deny就是拒绝。。) 　　3 nat ............(nat是地址转换。后面说) 防火墙网络层(包括以下的炼路层)接受到网络数据包后，就规则一条一条地匹配，如果符合就执行预先安排的动作了！ 第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。 　　第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制，从而对防火墙和内部网络破坏。 　　第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞，从而有针对性地发动攻击。这种攻击难度比较大，可是破坏性很大。 不同的防火墙，在判断攻击行为时，有实现上的差别。 1 ip 欺骗攻击：可是，如果防火墙能结合接口，地址来匹配，这种攻击就不能成功了 2 d.o.s拒绝服务攻击 3 分片攻击防火墙只根据第一个分片包的Tcp信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。 　　4 木马攻击包过滤防火墙一般只过滤低端口(1-1024)，而高端口他不可能过滤的(因为，一些服务要用到高端口，因此防火墙不能关闭高端口的)，所以很多的木马都在高端口打开等待 　　但是木马攻击的前提是必须先上传，运行木马状态检测就是从连接的建立到终止都跟踪检测的技术。 　　相反，一个完全的状态检测防火墙，他在发起连接就判断，如果符合规则，就在内存登记了这个连接的状态信息而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息，都被丢弃了。这样这些攻击数据包，就不能饶过防火墙了。 动态规则防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后，这条规则就又被防火墙删除。 1 协议隧道攻击 攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部，从而穿透防火墙系统对内部网络进行攻击。 　许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中，攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端，而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部，再发送给内部网络服务端lokid，由它执行其中的命令，并以同样的方式返回结果。由于许多防火墙允许ICMP和UDP分组自由出入，因此攻击者的恶意数据就能附带在正常的分组，绕过防火墙的认证，顺利地到达攻击目标主机 　　2 利用FTP-pasv绕过防火墙认证的攻击 　　FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1，在监视FTP服务器发送给客户端的包的过程中，它在每个包中寻找227这个字符串。如果发现这种包，将从中提取目标地址和端口，并对目标地址加以验证，通过后，将允许建立到该地址的TCP连接。攻击者通过这个特性，可以设法连接受防火墙保护的服务器和服务。 　　3 反弹木马攻击 　　防火墙不能区分木马的连接和合法的连接。 　　但是这种攻击的局限是：必须首先安装这个木马！ 应用层的防火墙启动两个连接，一个是客户到代理，另一个是代理到目的服务器。和前面的一样也是根据规则过滤。 　　WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件，内部用户可以通过一台安装有WinGate的主机访问外部网络，但是它也存在着几个安全脆弱点。 　　黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问，从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此，这种攻击非常难于被跟踪和记录。 　 　　1非授权Web访问 　　某些WinGate版本(如运行在NT系统下的2.1d版本)在配置情况下，允许外部主机完全匿名地访问因特网。因此，外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等)，同时由于Web攻击的所有报文都是