矛与盾的较量──网络攻击与防火墙详解.docVIP

矛与盾的较量──网络攻击和防火墙详解 矛与盾的较量──网络攻击和防火墙详解2010年12月14日星期二13：33题记 接到这个稿约后，笔者感到战战兢兢，因为笔者很清楚，计算机安全就像一个快速进化的野兽，新的威胁不断出现，老的威胁变得过时(但看起来永远不会死亡)。而入侵者的手段比较隐秘，不大为外人所知晓，特别是穿越防火墙实施网络犯罪的活动。 限于笔者的水平和经验所限，实在难以完美展现入侵真相的全部，因为企业的实际网络环境远比实验环境要复杂，而且防火墙的种类多种多样，既有硬件的，也有软件的，断然不是一篇短短的文章所能包容，但万法归宗，它们的原理是一样的。笔者斗胆写下这篇文章，只希望能起到抛砖引玉的作用，那笔者的目的也就达到了。 前言 信息和网络安全技术历经十多年的发展，无论在广度，还是在深度上，都有了很大的进步，其中一个重要的研究趋势就是注重攻防结合，追求最大化的动态安全。网络的攻与防，即为矛与盾。然而，与此相关的信息安全方面的文章大多数却是从盾来入手的，也就是说从防御的角度来论述。 作为网管员来说，他要学习信息安全知识的话，不仅需要了解防护方面的技术，也需要了解检测和相应环节的技术(就是矛)。无数实践表明，最大的不安全，恰恰就是自以为安全！因为，信息安全具有很强的对抗性，威胁时刻存在，各种各样的安全问题常会掩盖在表面的平静之下。 有太多的古训，诸如隐患险于明火、知己知彼，百战不殆…对于今天的网络信息安全防御依然有借鉴意义。对于实施攻击的黑客手法的洞悉，对于自身脆弱性的意识，都是自身安全的前提。 为帮助广大网管员了解网络攻击和防火墙的方方面面，本文作者将从攻防兼备的角度，尽可能将纷繁复杂、是似而非的攻防思路整理清晰，以飨广大网管员。 防火墙的基础知识 防火墙是由楔和门两类功能部件构成，典型的防火墙包括一外一内两个楔和夹在中间的一个门。楔通常由路由器承担，而门通常由相当简化了操作系统的主机承担。换言之，楔强制内部网络和外部网络之间的通信通过门进行，门则执行安全措施并代理网络服务；门与内外楔之间分别链接一个独立的子网，其中，外楔和门之间的子网可以有一个非军事区，这块可部署对外的网络服务如www、ftp、dns等等。内外楔应阻塞不希望穿越防火墙的所有网络服务的分组， 目前有两类主导性的防火墙：应用代理和分组过滤网关，这同防火墙概念中的门和楔功能部件相对应，但实际上，完善的防火墙需要这两个部件的有机结合，而不是孤立的发挥作用。 防火墙一般有两个以上的网卡，一个连到外部(router)，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通讯能直接通过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯进行控制，示意图如下： ││---路由器---网卡│防火墙│网卡│--内部网络││ 防火墙主要通过一个访问控制表来判断的，它的形式一般是一连串的如下规则： 1 accept from+源地址，端口to+目的地址，端口+采取的动作 2 deny.(deny是拒绝) 3 nat.(nat是地址转换) 防火墙在网络层(包括以下的链路层)接收到网络数据包后，就从上面的规则连表一条一条地匹配，如果符合就执行预先安排的动作，如丢弃包等。 矛与盾的较量 几千年前的孙子兵法就写道：不知彼而知己，一胜一负；不知彼，不知己，每战必殆。 我们作为网络管理员，要做到能够检测并预防相应的攻击，就必须了解入侵者的手段，这样，我们才能有针对性的防范。 我们知道，盗窃者在开始犯罪之前，必须完成三个基本的步骤：踩点、查点、行动。比如，有一个盗窃团伙决定抢银行的时候，他们会事先花大量时间去收集这家银行的信息，如武装押运车的路线和押送时间，摄像头的位置和范围，出纳员人数，逃跑路线一起其他任何有助于避免发生意外情况的信息。 对于网络入侵者而言，也是一样的。他要入侵某个网络，事先也必须收集大量的信息──关于该机构的网络安全情况的各个方面的信息，如果不进行踩点就贸然攻击，这个行为简直就是愚蠢的，就好比径直走进银行开始要钱。 只要想查，任何人都可以获取有关你的网络安全情况──其可用信息数量之多往往会超出你的想像！ 入侵防火墙的第一步就是查找和判断防火墙。然后就是进行攻击防火墙。 踩点之直接扫描查找防火墙 矛 有些防火墙会在简单的端口扫描下原形毕露──防火墙有特定端口在监听──你只需要知道哪些端口应该去扫描，比如，CheckPoint的Firewall-1防火墙在256、257、258号的TCP端口监听，Microsoft Proxy Server 2.0防火墙在1080、1745号TCP端口监听…只要知道每个防火墙监听的缺省端口，就可以用端口扫描软件来对特定缺省端口进行扫描来查找防火墙，如使用nmap[S1]程序来扫描： nmap-n-vv-P0-p256,1080,1745