基于DNS的防火墙渗透技术研究.docVIP

基于DNS的防火墙渗透技术研究 学术研究 Academfc.磐,考e畿广鳓: 基于DNS的防火墙渗透技术研究 赵枫王轶俊薛质 (上海交通大学信息安全工程学院,上海200240) 【摘要】深入分析-『防火墙技术和DNS协议数据包,提出了全新的,基于DNS的防火墙渗透技术. 【关键词】防火墙技术DNS协议防火墙渗透 ResearchinFirewallInfiltrationTechnologyBasedDNSProtocol ZhaoFengWangYijunXueZhi (ShanghaidiaotongUniversity,InformationSecurityCollege,Shanghai200240) [AbstractlThispaperdeeplyanalysestheFirewalltechnologyandthedatapackageofDNSprotocol,givesanewopinionin theFirewallinfiltrationbasedtheDNSprotoco1. [Keywords]FirewallTechnologyDNSProtocolFirewallInfiltration 1背景 Internet的迅速发展给生产和生活带来了前所未有的 飞跃,而与此同时,网络安全也成为一个Et益严峻的问 题.大多数的企业为了保障自身服务器或数据的安全都架 设了各种各样的防火墙,虽然防火墙用以保证网络的安 全,但其自身也有各个方面的安全隐患,其中以被防火墙 渗透技术突破属最为严重目前,较为常见的渗透技术手 段包括基于某种应用协议的隧道.基于防火墒本身的安全 漏洞以及基于反弹模式的木马程序等.川 2防火墙介绍 防火墙可以是任何被特定网络和一组网络用作网络级 访问控制机制的设备.防火墙被设计为出入网络的控制 点,它评估所收到的连接请求,判决是否允许通过,在大 收稿日期:2005-6-25 作者简介:赵枫.1gs0年生.上海交通大学信息安全工程学 院2005鳆硪士研宄生.主要从事黑客攻防方向的研究工作. 王轶俊.1980年生,上海竞通大学信息譬奎工程学院讲师. 主要从事黑客攻防方向的研完工作尊蘑.J969年生,上海 交通大学信息安奎工程学院副救授,主要从事计算机通信网 和信息鲁奎方茴的研究工作. 多数情况下,防火墙被用来阻止外来人员访问内部网络. 一 般情况下,防火墙技术可以分为三类:基于包过滤 的防火墙(如通常的路由器,CiscoIOS等).状态包过滤 防火墙(如CheckPoint公司的Fw—l,Cisco公司的PIX 等)以及基于代理的防火墙【41.无论防火墙属于哪一类技 术,部是根据预先定义的规则或政策来查看网络通信 是否被允许,只有从授权主机到授权目的地的连接请求才 被处理.其它的连接请求则都会被丢弃. 5DNS协议介绍 域名系统(DNS)是一种用于TCP/IP应用程序的分布 饵I3l 标谠檬衷 同砖散蹙颤j己录敛 授杈寅氰l己录鼓觚外赞弭j已录敛 奢询问趔. 1(赍掉i己录簸可壹) l艟投 情掠记录数可壹) 氟外信息 (舞掉记录敷壹) 图lDNS协议用于查询和响应的报文格式 Tl2率节 上 信息安全与通信保密?:..6.zJ47 学术研究 奠§睡鼯ReSearCh 式数据库.它提供主机名字和IP地址之间的转换及有关电 子邮件的选路信息.在一个应用程序请求TCP打开一个连 接或使用UDP发送一个数据报之前,心须将一个主机名转 换为一个IP地址. 相关的DNS协议定义了一个用于查询和响应的报文格 式,如图l所示 4渗透技术 目前的防火墙技术,对于新开放端口或者新建套接字 等操作,必然做出拦截响应,而对于已验证通过的进程,则 不做出拦截响应.那么我们是否可以利用已验证通过的进 程来达到渗透防火墙的目的呢?答案是肯定的.但是,在 此类进程中,句柄为TCP类型的进程已经与外部建立r连 接,我们无法利用,而DNS进程的sOCKET是UDP类型, 于是我们可以利用DNS进程来达到渗透防火墙的目的具 体过程如下: 首先,获取目标进程DNs的进程ID值:通过调用 WTSEnumerateProcesses()函数来列出所有的进程信息, 井根据DNS进程的名称svchost.exe来获得绑定在该进程 上的用户SID值,再调用L00kupAcc0unetsid()函数得到 进程用户名,最后根据DNS进程的用户名NETwORK SERvICE来匹配出进程ID值. 相关函数的使用说明列举如下【.I BOOLWTSEnumerateProcesses( HANDLEhServer DWORDReserved DWORDVersion PWTS—PROCESS—INFO*ppPr0cessInf0 DWORDpCount