http://www.cnw.com.cn/cnw07/security/FireWall/htm2007/20071030_27310.shtml

“黑客會打上我的主意嗎？”這么想就對了，黑客就想鉆雞蛋縫的蒼蠅一樣，看到一絲從系統(tǒng)漏洞發(fā)出的光亮就會蠢蠢欲動！好，如何保護你的網(wǎng)絡(luò)呢？計算機的高手們也許一張嘴就提議你安裝網(wǎng)絡(luò)的防火墻，那么第一個問題就來了：到底什么是防火墻呢？

什么是防火墻？

防火墻就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。

天下的防火墻至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火墻是以太網(wǎng)橋。但幾乎沒有人會認為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術(shù)和標準可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；

有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統(tǒng)。還有一些應(yīng)用型的防火墻只對特定類型的網(wǎng)絡(luò)連接提供保護（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因為他們的工作方式都是一樣的：分析出入防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?

所有的防火墻都具有IP地址過濾功能。這項任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個網(wǎng)段之間隔了一個防火墻，防火墻的一端有臺UNIX計算機，另一邊的網(wǎng)段則擺了臺PC客戶機。

?

?

當PC客戶機向UNIX計算機發(fā)起telnet請求時，PC的telnet客戶程序就產(chǎn)生一個TCP包并把它傳給本地的協(xié)議棧準備發(fā)送。接下來，協(xié)議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機。在這個例子里，這個IP包必須經(jīng)過橫在PC和UNIX計算機中的防火墻才能到達UNIX計算機。

現(xiàn)在我們“命令”（用專業(yè)術(shù)語來說就是配制）防火墻把所有發(fā)給UNIX計算機的數(shù)據(jù)包都給拒了，完成這項工作以后，“心腸”比較好的防火墻還會通知客戶程序一聲呢！既然發(fā)向目標的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計算機同在一個網(wǎng)段的用戶才能訪問UNIX計算機了。

還有一種情況，你可以命令防火墻專給那臺可憐的PC機找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計算機就可以穿越信任這個地址的防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

服務(wù)器TCP/UDP 端口過濾

僅僅依靠地址進行數(shù)據(jù)過濾在實際運用中是不可行的，還有個原因就是目標主機上往往運行著多種通信服務(wù)，比方說，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時禁止他們使用SMTP/POP郵件服務(wù)器吧？所以說，在地址之外我們還要對服務(wù)器的TCP/ UDP端口進行過濾。

?

比如，默認的telnet服務(wù)連接端口號是23。假如我們不許PC客戶機建立對UNIX計算機（在這時我們當它是服務(wù)器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標是UNIX服務(wù)器的數(shù)據(jù)包，把其中具有23目標端口號的包過濾就行了。這樣，我們把IP地址和目標服務(wù)器TCP/UDP端口結(jié)合起來不就可以作為過濾標準來實現(xiàn)相當可靠的防火墻了嗎？不，沒這么簡單。

?

?

客戶機也有TCP/UDP端口

TCP/IP是一種端對端協(xié)議，每個網(wǎng)絡(luò)節(jié)點都具有唯一的地址。網(wǎng)絡(luò)節(jié)點的應(yīng)用層也是這樣，處于應(yīng)用層的每個應(yīng)用程序和服務(wù)都具有自己的對應(yīng)“地址”，也就是端口號。地址和端口都具備了才能建立客戶機和服務(wù)器的各種應(yīng)用之間的有效通信聯(lián)系。比如，telnet服務(wù)器在端口23偵聽入站連接。同時telnet客戶機也有一個端口號，否則客戶機的IP棧怎么知道某個數(shù)據(jù)包是屬于哪個應(yīng)用程序的呢？

由于歷史的原因，幾乎所有的TCP/IP客戶程序都使用大于1023的隨機分配端口號。只有UNIX計算機上的root用戶才可以訪問1024以下的端口，而這些端口還保留為服務(wù)器上的服務(wù)所用。所以，除非我們讓所有具有大于1023端口號的數(shù)據(jù)包進入網(wǎng)絡(luò)，否則各種網(wǎng)絡(luò)連接都沒法正常工作。

這對防火墻而言可就麻煩了，如果阻塞入站的全部端口，那么所有的客戶機都沒法使用網(wǎng)絡(luò)資源。因為服務(wù)器發(fā)出響應(yīng)外部連接請求的入站（就是進入防火墻的意思）數(shù)據(jù)包都沒法經(jīng)過防火墻的入站過濾。反過來，打開所有高于1023的端口就可行了嗎？也不盡然。由于很多服務(wù)使用的端口都大于1023，比如X client、基于RPC的NFS服務(wù)以及為數(shù)眾多的非UNIX IP產(chǎn)品等（NetWare/IP）就是這樣的。那么讓達到1023端口標準的數(shù)據(jù)包都進入網(wǎng)絡(luò)的話網(wǎng)絡(luò)還能說是安全的嗎？連這些客戶程序都不敢說自己是足夠安全的。

?

雙向過濾

OK，咱們換個思路。我們給防火墻這樣下命令：已知服務(wù)的數(shù)據(jù)包可以進來，其他的全部擋在防火墻之外。比如，如果你知道用戶要訪問Web服務(wù)器，那就只讓具有源端口號80的數(shù)據(jù)包進入網(wǎng)絡(luò)：

?

不過新問題又出現(xiàn)了。首先，你怎么知道你要訪問的服務(wù)器具有哪些正在運行的端口號呢？ 象HTTP這樣的服務(wù)器本來就是可以任意配置的，所采用的端口也可以隨意配置。如果你這樣設(shè)置防火墻，你就沒法訪問哪些沒采用標準端口號的的網(wǎng)絡(luò)站點了！反過來，你也沒法保證進入網(wǎng)絡(luò)的數(shù)據(jù)包中具有端口號80的就一定來自Web服務(wù)器。有些黑客就是利用這一點制作自己的入侵工具，并讓其運行在本機的80端口！

?

檢查ACK位

源地址我們不相信，源端口也信不得了，這個不得不與黑客共舞的瘋狂世界上還有什么值得我們信任呢？還好，事情還沒到走投無路的地步。對策還是有的，不過這個辦法只能用于TCP協(xié)議。

TCP是一種可靠的通信協(xié)議，“可靠”這個詞意味著協(xié)議具有包括糾錯機制在內(nèi)的一些特殊性質(zhì)。為了實現(xiàn)其可靠性，每個TCP連接都要先經(jīng)過一個“握手”過程來交換連接參數(shù)。還有，每個發(fā)送出去的包在后續(xù)的其他包被發(fā)送出去之前必須獲得一個確認響應(yīng)。但并不是對每個TCP包都非要采用專門的ACK包來響應(yīng)，實際上僅僅在TCP包頭上設(shè)置一個專門的位就可以完成這個功能了。所以，只要產(chǎn)生了響應(yīng)包就要設(shè)置ACK位。連接會話的第一個包不用于確認，所以它就沒有設(shè)置ACK位，后續(xù)會話交換的TCP包就要設(shè)置ACK位了。

?

舉個例子，PC向遠端的Web服務(wù)器發(fā)起一個連接，它生成一個沒有設(shè)置ACK位的連接請求包。當服務(wù)器響應(yīng)該請求時，服務(wù)器就發(fā)回一個設(shè)置了ACK位的數(shù)據(jù)包，同時在包里標記從客戶機所收到的字節(jié)數(shù)。然后客戶機就用自己的響應(yīng)包再響應(yīng)該數(shù)據(jù)包，這個數(shù)據(jù)包也設(shè)置了ACK位并標記了從服務(wù)器收到的字節(jié)數(shù)。通過監(jiān)視ACK位，我們就可以將進入網(wǎng)絡(luò)的數(shù)據(jù)限制在響應(yīng)包的范圍之內(nèi)。于是，遠程系統(tǒng)根本無法發(fā)起TCP連接但卻能響應(yīng)收到的數(shù)據(jù)包了。

?

這套機制還不能算是無懈可擊，簡單地舉個例子，假設(shè)我們有臺內(nèi)部Web服務(wù)器，那么端口80就不得不被打開以便外部請求可以進入網(wǎng)絡(luò)。還有，對UDP包而言就沒法監(jiān)視ACK位了，因為UDP包壓根就沒有ACK位。還有一些TCP應(yīng)用程序，比如FTP，連接就必須由這些服務(wù)器程序自己發(fā)起。

FTP帶來的困難

一般的Internet服務(wù)對所有的通信都只使用一對端口號，FTP程序在連接期間則使用兩對端口號。第一對端口號用于FTP的“命令通道”提供登錄和執(zhí)行命令的通信鏈路，而另一對端口號則用于FTP的“數(shù)據(jù)通道”提供客戶機和服務(wù)器之間的文件傳送。

在通常的FTP會話過程中，客戶機首先向服務(wù)器的端口21（命令通道）發(fā)送一個TCP連接請求，然后執(zhí)行LOGIN、DIR等各種命令。一旦用戶請求服務(wù)器發(fā)送數(shù)據(jù)，FTP服務(wù)器就用其20端口（數(shù)據(jù)通道）向客戶的數(shù)據(jù)端口發(fā)起連接。問題來了，如果服務(wù)器向客戶機發(fā)起傳送數(shù)據(jù)的連接，那么它就會發(fā)送沒有設(shè)置ACK位的數(shù)據(jù)包，防火墻則按照剛才的規(guī)則拒絕該數(shù)據(jù)包同時也就意味著數(shù)據(jù)傳送沒戲了。通常只有高級的、也就是夠聰明的防火墻才能看出客戶機剛才告訴服務(wù)器的端口，然后才許可對該端口的入站連接。

UDP端口過濾

好了，現(xiàn)在我們回過頭來看看怎么解決UDP問題。剛才說了，UDP包沒有ACK位所以不能進行ACK位過濾。UDP 是發(fā)出去不管的“不可靠”通信，這種類型的服務(wù)通常用于廣播、路由、多媒體等廣播形式的通信任務(wù)。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看來最簡單的可行辦法就是不允許建立入站UDP連接。防火墻設(shè)置為只許轉(zhuǎn)發(fā)來自內(nèi)部接口的UDP包，來自外部接口的UDP包則不轉(zhuǎn)發(fā)。現(xiàn)在的問題是，比方說，DNS名稱解析請求就使用UDP，如果你提供DNS服務(wù)，至少得允許一些內(nèi)部請求穿越防火墻。還有IRC這樣的客戶程序也使用UDP，如果要讓你的用戶使用它，就同樣要讓他們的UDP包進入網(wǎng)絡(luò)。我們能做的就是對那些從本地到可信任站點之間的連接進行限制。但是，什么叫可信任！如果黑客采取地址欺騙的方法不又回到老路上去了嗎？

?

?

有些新型路由器可以通過“記憶”出站UDP包來解決這個問題：如果入站UDP包匹配最近出站UDP包的目標地址和端口號就讓它進來。如果在內(nèi)存中找不到匹配的UDP包就只好拒絕它了！但是，我們?nèi)绾未_信產(chǎn)生數(shù)據(jù)包的外部主機就是內(nèi)部客戶機希望通信的服務(wù)器呢？如果黑客詐稱DNS服務(wù)器的地址，那么他在理論上當然可以從附著DNS的UDP端口發(fā)起攻擊。只要你允許DNS查詢和反饋包進入網(wǎng)絡(luò)這個問題就必然存在。辦法是采用代理服務(wù)器。

所謂代理服務(wù)器，顧名思義就是代表你的網(wǎng)絡(luò)和外界打交道的服務(wù)器。代理服務(wù)器不允許存在任何網(wǎng)絡(luò)內(nèi)外的直接連接。它本身就提供公共和專用的DNS、郵件服務(wù)器等多種功能。代理服務(wù)器重寫數(shù)據(jù)包而不是簡單地將其轉(zhuǎn)發(fā)了事。給人的感覺就是網(wǎng)絡(luò)內(nèi)部的主機都站在了網(wǎng)絡(luò)的邊緣，但實際上他們都躲在代理的后面，露面的不過是代理這個假面具。

小結(jié)

IP地址可能是假的，這是由于IP協(xié)議的源路有機制所帶來的，這種機制告訴路由器不要為數(shù)據(jù)包采用正常的路徑，而是按照包頭內(nèi)的路徑傳送數(shù)據(jù)包。于是黑客就可以使用系統(tǒng)的IP地址獲得返回的數(shù)據(jù)包。有些高級防火墻可以讓用戶禁止源路由。通常我們的網(wǎng)絡(luò)都通過一條路徑連接ISP，然后再進入Internet。這時禁用源路由就會迫使數(shù)據(jù)包必須沿著正常的路徑返回。

還有，我們需要了解防火墻在拒絕數(shù)據(jù)包的時候還做了哪些其他工作。比如，防火墻是否向連接發(fā)起系統(tǒng)發(fā)回了“主機不可到達”的ICMP消息？或者防火墻真沒再做其他事？這些問題都可能存在安全隱患。ICMP“主機不可達”消息會告訴黑客“防火墻專門阻塞了某些端口”，黑客立即就可以從這個消息中聞到一點什么氣味。如果ICMP“主機不可達”是通信中發(fā)生的錯誤，那么老實的系統(tǒng)可能就真的什么也不發(fā)送了。反過來，什么響應(yīng)都沒有卻會使發(fā)起通信的系統(tǒng)不斷地嘗試建立連接直到應(yīng)用程序或者協(xié)議棧超時，結(jié)果最終用戶只能得到一個錯誤信息。當然這種方式會讓黑客無法判斷某端口到底是關(guān)閉了還是沒有使用。

本文轉(zhuǎn)載自企業(yè)級IT信息服務(wù)平臺-網(wǎng)界網(wǎng)-CNW.com.cn
原文地址：http://www.cnw.com.cn/cnw07/security/FireWall/htm2007/20071030_27310_8.shtml

?

==========================

http://www.likespc.cn/the-working-principle-of-a-firewall.html

一、防火墻基本原理?

　　首先，我們需要了解一些基本的防火墻實現(xiàn)原理。防火墻目前主要分包過濾，和狀態(tài)檢測的包過濾，應(yīng)用層代理防火

墻。但是他們的基本實現(xiàn)都是類似的。?

　　│ │—路由器—–網(wǎng)卡│防火墻│網(wǎng)卡│———-內(nèi)部網(wǎng)絡(luò)│ │?

　　防火墻一般有兩個以上的網(wǎng)絡(luò)卡，一個連到外部(router)，另一個是連到內(nèi)部網(wǎng)絡(luò)。當打開主機網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能時，兩個網(wǎng)卡間的網(wǎng)絡(luò)通訊能直接通過。當有防火墻時，他好比插在網(wǎng)卡之間，對所有的網(wǎng)絡(luò)通訊進行控制。?

　　說到訪問控制，這是防火墻的核心了：)，防火墻主要通過一個訪問控制表來判斷的，他的形式一般是一連串的如下規(guī)則：?

　　1 accept from+ 源地址，端口 to+ 目的地址，端口+ 采取的動作?

　　2 deny ………..(deny就是拒絕。。)?

　　3 nat …………(nat是地址轉(zhuǎn)換。后面說)?

　　防火墻在網(wǎng)絡(luò)層(包括以下的煉路層)接受到網(wǎng)絡(luò)數(shù)據(jù)包后，就從上面的規(guī)則連表一條一條地匹配，如果符合就執(zhí)行預(yù)先安排的動作了！如丟棄包。。。。?

　　但是，不同的防火墻，在判斷攻擊行為時，有實現(xiàn)上的差別。下面結(jié)合實現(xiàn)原理說說可能的攻擊。?

　　二、攻擊包過濾防火墻?

　　包過濾防火墻是最簡單的一種了，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為。他根據(jù)數(shù)據(jù)包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾！！很容易受到如下攻擊：?

　　1 ip 欺騙攻擊：?

　　這種攻擊，主要是修改數(shù)據(jù)包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來騙過防火墻的檢測。如：外部攻擊者，將他的數(shù)據(jù)報源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就放行了：)。可是，如果防火墻能結(jié)合接口，地址來匹

配，這種攻擊就不能成功了：(?

　　2 d.o.s拒絕服務(wù)攻擊?

　　簡單的包過濾防火墻不能跟蹤 tcp的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦防火墻受到d.o.s攻擊，他可能會忙于處理，而忘記了他自己的過濾功能。：)你就可以饒過了，不過這樣攻擊還很少的。！?

　　3 分片攻擊?

　　這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序，但是，只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火墻時，防火墻只根據(jù)第一個分片包的Tcp信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。?

　　這樣，攻擊者就可以通過先發(fā)送第一個合法的IP分片，騙過防火墻的檢測，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透防火墻，直接到達內(nèi)部網(wǎng)絡(luò)主機，從而威脅網(wǎng)絡(luò)和主機的安全。?

　　4 木馬攻擊?

　　對于包過濾防火墻最有效的攻擊就是木馬了，一但你在內(nèi)部網(wǎng)絡(luò)安裝了木馬，防火墻基本上是無能為力的。?

　　原因是：包過濾防火墻一般只過濾低端口(1-1024)，而高端口他不可能過濾的(因為，一些服務(wù)要用到高端口，因此防火墻不能關(guān)閉高端口的)，所以很多的木馬都在高端口打開等待，如冰河，subseven等。。。?

　　但是木馬攻擊的前提是必須先上傳，運行木馬，對于簡單的包過濾防火墻來說，是容易做的。這里不寫這個了。大概就是利用內(nèi)部網(wǎng)絡(luò)主機開放的服務(wù)漏洞。?

　　早期的防火墻都是這種簡單的包過濾型的，到現(xiàn)在已很少了，不過也有?，F(xiàn)在的包過濾采用的是狀態(tài)檢測技術(shù)，下面談?wù)劆顟B(tài)檢測的包過濾防火墻。

　　三、攻擊狀態(tài)檢測的包過濾?

　　狀態(tài)檢測技術(shù)最早是checkpoint提出的，在國內(nèi)的許多防火墻都聲稱實現(xiàn)了狀態(tài)檢測技術(shù)。?

　　可是：)很多是沒有實現(xiàn)的。到底什么是狀態(tài)檢測？?

　　一句話，狀態(tài)檢測就是從tcp連接的建立到終止都跟蹤檢測的技術(shù)。?

　　原先的包過濾，是拿一個一個單獨的數(shù)據(jù)包來匹配規(guī)則的?？墒俏覀冎?#xff0c;同一個tcp連接，他的數(shù)據(jù)包是前后關(guān)聯(lián)的，先是syn包，-》數(shù)據(jù)包=》fin包。數(shù)據(jù)包的前后序列號是相關(guān)的。?

　　如果割裂這些關(guān)系，單獨的過濾數(shù)據(jù)包，很容易被精心夠造的攻擊數(shù)據(jù)包欺騙！！！如nmap的攻擊掃描，就有利用syn包，fin包，reset包來探測防火墻后面的網(wǎng)絡(luò)。！?

　　相反，一個完全的狀態(tài)檢測防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個連接的狀態(tài)信息(地址，port，選項。。),后續(xù)的屬于同一個連接的數(shù)據(jù)包，就不需要在檢測了。直接通過。而一些精心夠造的攻擊數(shù)據(jù)包由于沒有在內(nèi)存登記相應(yīng)的狀態(tài)信息，都被丟棄了。這樣這些攻擊數(shù)據(jù)包，就不能饒過防火墻了。?

　　說狀態(tài)檢測必須提到動態(tài)規(guī)則技術(shù)。在狀態(tài)檢測里，采用動態(tài)規(guī)則技術(shù)，原先高端口的問題就可以解決了。實現(xiàn)原理是：平時，防火墻可以過濾內(nèi)部網(wǎng)絡(luò)的所有端口(1-65535),外部攻擊者難于發(fā)現(xiàn)入侵的切入點，可是為了不影響正常的服務(wù)，防火墻一但檢測到服務(wù)必須開放高端口時，如(ftp協(xié)議，irc等)，防火墻在內(nèi)存就可以動態(tài)地天加一條規(guī)則打開相關(guān)的高端口。等服務(wù)完成后，這條規(guī)則就又被防火墻刪除。這樣，既保障了安全，又不影響正常服務(wù)，速度也快。！?

　　一般來說，完全實現(xiàn)了狀態(tài)檢測技術(shù)防火墻，智能性都比較高，一些掃描攻擊還能自動的反應(yīng)，因此，攻擊者要很小

心才不會被發(fā)現(xiàn)。?

　　但是，也有不少的攻擊手段對付這種防火墻的。?

　　1 協(xié)議隧道攻擊?

　　協(xié)議隧道的攻擊思想類似與VPN的實現(xiàn)原理，攻擊者將一些惡意的攻擊數(shù)據(jù)包隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對內(nèi)部網(wǎng)絡(luò)進行攻擊。?

　　例如，許多簡單地允許ICMP回射請求、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。

Loki和lokid(攻擊的客戶端和服務(wù)端)是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個系統(tǒng)上安裝上lokid服務(wù)端，而后攻擊者就可以通過loki客戶端將希望遠程執(zhí)行的攻擊命令(對應(yīng)IP分組)嵌入在ICMP或

UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端lokid，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過防火墻的認證，順利地到達攻擊目標主機下面的命令是用于啟動lokid服務(wù)器程序：?

　　lokid-p CI Cvl?

　　loki客戶程序則如下啟動：?

　　loki Cd172.29.11.191(攻擊目標主機)-p CI Cv1 Ct3?

　　這樣，lokid和loki就聯(lián)合提供了一個穿透防火墻系統(tǒng)訪問目標系統(tǒng)的一個后門。?

　　2 利用FTP-pasv繞過防火墻認證的攻擊?

　　FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個包中尋找”227″這個字符串。如果發(fā)現(xiàn)這種包，將從中提取目標地址和端口，并對目標地址加以驗證，通過后，將允許建立到該地址的TCP連接。?

　　攻擊者通過這個特性，可以設(shè)
連接受防火墻保護的服務(wù)器和服務(wù)。

　　3 反彈木馬攻擊?

　　反彈木馬是對付這種防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時地連接外部攻擊者控制的主機，由于連接是從內(nèi)部發(fā)起的，防火墻(任何的防火墻)都認為是一個合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。?

　　但是這種攻擊的局限是：必須首先安裝這個木馬！！！所有的木馬的第一步都是關(guān)鍵！

　　四、攻擊代理?

　　代理是運行在應(yīng)用層的防火墻，他實質(zhì)是啟動兩個連接，一個是客戶到代理，另一個是代理到目的服務(wù)器。?

　　實現(xiàn)上比較簡單，和前面的一樣也是根據(jù)規(guī)則過濾。由于運行在應(yīng)用層速度比較慢/1?

　　攻擊代理的方法很多。?

　　這里就以wingate為例，簡單說說了。(太累了)?

　　WinGate是目前應(yīng)用非常廣泛的一種Windows95/NT代理防火墻軟件，內(nèi)部用戶可以通過一臺安裝有WinGate的主機訪問外部網(wǎng)絡(luò)，但是它也存在著幾個安全脆弱點。?

　　黑客經(jīng)常利用這些安全漏洞獲得WinGate的非授權(quán)Web、Socks和Telnet的訪問，從而偽裝成WinGate主機的身份對下一

個攻擊目標發(fā)動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。?

　　導(dǎo)致WinGate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實際情況對WinGate代理防火墻軟件進行合理的設(shè)置，只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運行，這就給攻擊者可乘之機。?

　　1 非授權(quán)Web訪問?

　　某些WinGate版本(如運行在NT系統(tǒng)下的2.1d版本)在誤配置情況下，允許外部主機完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用WinGate主機來對Web服務(wù)器發(fā)動各種Web攻擊( 如CGI的漏洞攻擊等)，同時由于Web攻擊的所有報文都是

從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。?

　　檢測?

　　檢測WinGate主機是否有這種安全漏洞的方法如下：?

　　1) 以一個不會被過濾掉的連接(譬如說撥號連接)連接到因特網(wǎng)上。?

　　2) 把瀏覽器的代理服務(wù)器地址指向待測試的WinGate主機。?

　　如果瀏覽器能訪問到因特網(wǎng)，則WinGate主機存在著非授權(quán)Web訪問漏洞。?

　　2 非授權(quán)Socks訪問?

　　在WinGate的缺省配置中，Socks代理(1080號Tcp端口)同樣是存在安全漏洞。與打開的Web代理(80號Tcp端口)一樣，外部攻擊者可以利用Socks代理訪問因特網(wǎng)。?

　　防范?

　　要防止攻擊WinGate的這個安全脆弱點，管理員可以限制特定服務(wù)的捆綁。在多宿主(multi homed)系統(tǒng)上，執(zhí)行以下步驟以限定如何提供代理服務(wù)。?

　　1選擇Socks或WWWProxyServer屬性。?

　　2選擇Bindings標簽。?

　　3按下ConnectionsWillBeAcceptedOnTheFollowingInte***ceOnly按鈕，并指定本W(wǎng)inGate服務(wù)器的內(nèi)部接口。?

　　非授權(quán)Telnet訪問?

　　它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的inGate服務(wù)器的Telnet服務(wù)，攻擊者可以使用別人的主機隱藏自己的蹤跡，隨意地發(fā)動攻擊。?

　　檢測?

　　檢測WinGate主機是否有這種安全漏洞的方法如下：?

　　1.使用telnet嘗試連接到一臺WinGate服務(wù)器。?

　　[root@happy/tmp]#telnet172.29.11.191?

　　Trying172.29.11.191….?

　　Connectedto172.29.11.191.?

　　Escapecharacteris‘^]’.?

　　Wingate>10.50.21.5?

　　2.如果接受到如上的響應(yīng)文本，那就輸入待連接到的網(wǎng)站。?

　　3.如果看到了該新系統(tǒng)的登錄提示符，那么該服務(wù)器是脆弱的。?

　　Connectedtohost10.50.21.5…Connected?

　　SunOS5.6?

　　Login:?

　　對策?

　　防止這種安全脆弱點的方法和防止非授權(quán)Socks訪問的方法類似。在WinGate中簡單地限制特定服務(wù)的捆綁就可以解決這個問題。一般來說，在多宿主(multihomed)系統(tǒng)管理員可以通過執(zhí)行以下步驟來完成：?

　　1.選擇TelnetSever屬性。?

　　2.選擇Bindings標簽。?

　　3.按下ConnectionsWillBeAcceptedOnTheFollowingInte***ceOnly按鈕，并指定本W(wǎng)inGate服務(wù)器的內(nèi)部接口。

　　五、后話?

　　有防火墻的攻擊不單是上面的一點，我有什么寫的不對的，大家指正。?

　　一直以來，黑客都在研究攻擊防火墻的技術(shù)和手段，攻擊的手法和技術(shù)越來越智能化和多樣化。但是就黑客攻擊防火墻的過程上看，大概可以分為三類攻擊。?

　　第一類攻擊防火墻的方法是探測在目標網(wǎng)絡(luò)上安裝的是何種防火墻系統(tǒng)并且找出此防火墻系統(tǒng)允許哪些服務(wù)。我們叫它為對防火墻的探測攻擊。?

　　第二類攻擊防火墻的方法是采取地址欺騙、TCP序號攻擊等手法繞過防火墻的認證機制，從而 對防火墻和內(nèi)部網(wǎng)絡(luò)破壞。?

　　第三類攻擊防火墻的方法是尋找、利用防火墻系統(tǒng)實現(xiàn)和設(shè)計上的安全漏洞，從而有針對性地發(fā)動攻擊。這種攻擊難度比較大，可是破壞性很大。

?

總結(jié)

以上是生活随笔為你收集整理的为您详细解析防火墙的工作原理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。