防火墙 ppt6第六章.pptVIP

第6章 防火墙攻击 6.1 攻击类型和方法 6.2 防止攻击的方法 6.3 防火墙漏洞 6.1 攻击类型和方法 防火墙目前主要分包过滤、状态检测的包过滤和应用层代理3大类防火墙，它们的实现原理都是类似的，一般有两个以上的网卡，一个连到外部，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通信能直接通过。当有防火墙时，它好比插在网卡之间，对所有的网络通信进行控制。防火墙在网络层（包括以下的数据链路层）接收到网络数据包后，就从规则列表中一条一条地匹配，如果符合，就执行预先安排的动作，如没有匹配，就丢弃数据包。但是，不同的防火墙，在判断攻击行为时有实现上的差别。下面结合实现原理讲述几种可能的攻击。 6.1 攻击类型和方法 6.1.1 攻击包过滤防火墙 包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表来检测攻击行为。它根据数据包的源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口来过滤。防火墙最容易受到如下攻击： 1.IP欺骗攻击 突破防火墙系统最常用的方法是IP地址欺骗，它同时也是其他一系列攻击方法的基础。之所以使用这个方法，是因为IP自身的缺点。IP协议依据IP头中的目的地址项来发送IP数据包。 6.1 攻击类型和方法 如果目的地址是本地网络内的地址，该IP包就被直接发送到目的地。如果目的地址不在本地网络内，该IP包就会被发送到网关，再由网关决定将其发送到何处，这是IP路由IP包的方法。 黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及的分组真正是内部的还是外部的分组被包装得看起来像内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内，则它就把该分组按内部通信对待并让其通过。 6.1 攻击类型和方法 这种攻击主要是修改数据包的源、目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。如外部攻击者将他的数据报源地址改为内部网络地址，防火墙看到是合法地址就放行了。可是，如果防火墙能结合接口和地址来匹配，这种攻击就不能成功了。 2. DoS拒绝服务攻击 DoS（Denial of Service）也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝服务访问，破坏组织的正常运行，最终它会使部分Internet连接和网络系统失效。 6.1 攻击类型和方法 DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。 DoS攻击的基本过程是：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。 6.1 攻击类型和方法 简单的包过滤防火墙不能跟踪TCP的状态，很容易受到拒绝服务攻击，一旦防火墙受到DoS攻击，它可能会忙于处理，而忘记了自己的过滤功能。此时，黑客就可以绕过防火墙了，不过这样的攻击还是很少的。 3. 分片攻击 这种攻击的原理是：在IP的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的TCP信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。 6.1 攻击类型和方法 这样，攻击者就可以通过先发送第一个合法的IP分片，骗过防火墙的检测，接着封装了恶意数据的后续分片包就可以直接穿透防火墙，直接到达内部网络主机，从而威胁网络和主机的安全。 4. 木马攻击 对于包过滤防火墙最有效的攻击就是木马了，一旦在内部网络安装了木马，防火墙基本上是无能为力的。原因是：包过滤防火墙一般只过滤低端口（1～1024），而高端口它是不可能过滤的，所以，很多的木马都在高端口打开等待，如冰河、subseven等。但是木马攻击的前提是必须先上传，然后运行木马，对于简单的包过滤防火墙来说是容易做的。 6.1 攻击类型和方法 6.1.2 攻击状态检测的包过滤 原先的包过滤，是拿一个一个单独的数据包来匹配规则的。可是大家知道，同一个TCP连接，它的数据包是前后关联的。如果割裂这些关系，单独的过滤数据包很容易被精心构造的攻击数据包欺骗，如nmap的攻击扫描就利用SYN包、FIN包、RESET包来探测防火墙后面的网络。相反，一个完全的状态检测防火墙，它在发起连接就判断，如果符合规则，就在内