荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: fast (平淡), 信区: Security
标  题: 突破防火墙的技巧
发信站: 荔园晨风BBS站 (Tue Sep 11 13:17:25 2001), 转信

今天下载了一个最新的“天网防火墙个人版 2.0.3.102”看了看,原来天网是用C++ Bu
ilder写的,EXE文件就一个(还有几个驱动),也没有加壳,用VC编译器可以打开看到
里面的资源。界面也一般,不象OICQ2000那样的花哨,所用的图标也不太好看,也许是
因为开发者把精力都放到了功能的开发上。总的来说简单易用,一看就会,下面谈谈有
防火墙环境下的攻击和检测。
一、防火墙基本原理
  首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状
态检测的包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。
  防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络
。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他
好比插在网卡之间,对所有的网络通讯进行控制。
  说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断
的,他的形式一般是一连串的如下规则:
1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的动作
2 deny ...........(deny就是拒绝。。)
3 nat ............(nat是地址转换。后面说)
  防火墙在网络层(包括以下的炼路层)接受到网络数据包后,就从上面的规则连表
一条一条地匹配,如果符合就执行预先安排的动作了!如丢弃包……
  但是,不同的防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说
说可能的攻击。
二、攻击防火墙
IP 欺骗攻击
  这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗
过防火墙的检测。如:外部攻击者,将他的数据报源地址改为内部网络地址,防火墙看
到是合法地址就放行了。可是,如果防火墙能结合接口,地址来匹配,这种攻击就不能
成功了。
DOS拒绝服务攻击
  简单的包过滤防火墙不能跟踪TCP的状态,很容易受到拒绝服务攻击,一旦防火墙受
到DOS攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不
过这样攻击还很少的。
木马攻击
  对于包过滤防火墙最有效的攻击就是木马了,一但你在内部网络安装了木马,防火
墙基本上是无能为力的。
  原因是:包过滤防火墙一般只过滤低端口(1-1024),而高端口他不可能过滤的(
因为,一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多的木马都在
高端口打开等待,如冰河,subseven等。
  但是木马攻击的前提是必须先上传,运行木马,对于简单的包过滤防火墙来说,是
容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。
  早期的防火墙都是这种简单的包过滤型的,到现在已很少了,不过也有。现在的包
过滤采用的是状态检测技术,下面谈谈状态检测的包过滤防火墙。
三、攻击状态检测的包过滤
  状态检测技术最早是CheckPoint提出的,在国内的许多防火墙都声称实现了状态检
测技术。可是很多是没有实现的。到底什么是状态检测?一句话,状态检测就是从TCP连
接的建立到终止都跟踪检测的技术。
四、攻击代理
  代理是运行在应用层的防火墙,他实质是启动两个连接,一个是客户到代理,另一
个是代理到目的服务器。
  实现上比较简单,和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢

  攻击代理的方法很多。这里就以WinGate为例,简单说说了。
  WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件,内部用户可以通
过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。
  黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而
伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪
和记录。
  导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代
理防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就
给攻击者可乘之机。
  防止这种安全脆弱点的方法和防止非授权Socks访问的方法类似。在WinGate中简单
地限制特定服务的捆绑就可以解决这个问题。一般来说,在多宿主(multihomed)系统
管理员可以通过执行以下步骤来完成:
1、选择TelnetSever属性。
2、选择Bindings标签。
3、按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本Win
Gate服务器的内部接口。
五、后语
  利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难
度比较大,可是破坏性很大,希望大家有效地防范

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.127]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店