防火墙的基础知识科普.pdfVIP

防火墙的基础知识科普

防火墙主要由四个部分组成：服务访问规则、验证工具、包过滤

和应用网关。所有计算机的一切输入输出的网络通信和数据包都要经

过防火墙。下面就让小编带你去看看防火墙的基础知识科普，希望能

帮助到大家!

网络基础知识：TCP协议之探测防火墙

为了安全，主机通常会安装防火墙。防火墙设置的规则可以限制

其他主机连接。例如，在防火墙规则中可以设置IP地址，允许或阻止

该IP地址主机对本机的连接;还可以设置监听端口，允许或阻止其他主

机连接到本地监听的端口。

为了清楚地了解目标主机上是否安装防火墙，以及设置了哪些限

制，netwo__工具提供了编号为76的模块来实现。它通过发送大量的

TCP[SYN]包，对目标主机进行防火墙探测，并指定端口通过得到的响

应包进行判断。

如果目标主机的防火墙处于关闭状态，并且指定的端口没有被监

听，将返回[RST，ACK]包。

如果目标主机上启用了防火墙，在规则中设置了端口，阻止其他

主机连接该端口，那么在探测时将不会返回响应信息。如果设置为允

许其他主机连接该端口，将返回[SYN，ACK]包。

如果在规则中设置了IP地址，并允许该IP地址的主机进行连接，

探测时返回[SYN，ACK]包;当阻止该IP地址的主机进行连接，探测时

将不会返回数据包。

由于它可以发送大量的TCP[SYN]包，用户还可以利用该模块实施

洪水攻击，耗尽目标主机资源。

在主机192.168.59.131上对目标主机192.168.59.133进行防火

墙探测。

1)向目标主机端口2355发送TCP[SYN]包，探测是否有防火墙。

执行命令如下：

root@da__ueba:~#netwo__76-i192.168.59.133-p2355

执行命令后没有任何输出信息，但是会不断地向目标主机发送

TCP[SYN]包。

2)为了验证发送探测包情况，可以通过Wireshark抓包进行查看，

如图1所示。其中，一部分数据包目标IP地址都为192.168.59.133，

源IP地址为随机的IP地址，源端口为随机端口，目标端口为2355。

这些数据包是探测防火墙时发送的TCP[SYN]数据包。另一部分数据包

源IP地址为192.168.59.133，目标IP地址为随机的IP地址，源端口

为2355，目标端口为随机端口。这些数据包为对应的响应包。这里的

响应包为[RST，ACK]包，表示目标主机的防火墙没有开启，并且目标

主机没有监听2355端口。

3)目标主机没有开启防火墙时，如果监听了端口(如监听了49213

端口)，将会得到[SYN，ACK]响应包，如图2所示。其中，一部分数

据包的源IP地址为192.168.59.133，目标IP地址为随机的IP地址，

源端口为49213，目标端口为随机端口。这些数据包为对应的响应包。

这里的响应包为第2次握手包，表示目标主机监听了49213端口。

4)当目标主机上开启了防火墙，再进行探测时，如果目标主机监

听了端口，并且在防火墙规则中允许连接到该端口，那么将会收到

[SYN，ACK]响应包。如果不允许连接到该端口，那么将不会返回任何

响应数据包。例如，防火墙规则中不允许连接49213端口，那么在探

测时，将只有TCP[SYN]包，如图3所示。其中，所有的数据包目标IP

地址都为192.168.59.133，源IP地址为随机的IP地址，源端口为随

机端口，目标端口为49213。这些数据包就是探测时发送的TCP[SYN]

包。

5)目标主机的防火墙规则可能限制了特定IP地址的主机进行连接。

那么，在进行探测时，其他IP地址的TCP[SYN]包会得到对应的[SYN，

ACK]响应包，被限制的IP地址主机将不会收到响应包。捕获到的探测

数据包，如图4所示。其中，伪造了大量的IP地址向目标主机发送的

TCP[SYN]包。例如，第45个数据包为伪造主机19.182.220.102向目

标主机192.168