黑客突破防火墙几种惯用手法

首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。

  │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │

  防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。

  说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,他的形式一般是一连串的如下规则:

  1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的动作

  2 deny ...........(deny就是拒绝。。)

  3 nat ............(nat是地址转换。后面说)

  防火墙在网络层(包括以下的炼路层)接受到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。

  但是,不同的防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说说可能的攻击。

  二、攻击包过滤防火墙

  包过滤防火墙是最简单的一种了,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。他根据数据包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤!!很容易受到如下攻击:

  1 ip 欺骗攻击:

  这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。如:外部攻击者,将他的数据报源地址改为内部网络地址,防火墙看到是合法地址就放行了:)。可是,如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了:(

  2 d.o.s拒绝服务攻击

  简单的包过滤防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不过这样攻击还很少的。!

  3 分片攻击

  这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。

  这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁网络和主机的安全。

  4 木马攻击

  对于包过滤防火墙最有效的攻击就是木马了,一但你在内部网络安装了木马,防火墙基本上是无能为力的。

  原因是:包过滤防火墙一般只过滤低端口(1-1024),而高端口他不可能过滤的(因为,一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多的木马都在高端口打开等待,如冰河,subseven等。。。

  但是木马攻击的前提是必须先上传,运行木马,对于简单的包过滤防火墙来说,是容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。

  早期的防火墙都是这种简单的包过滤型的,到现在已很少了,不过也有。现在的包过滤采用的是状态检测技术,下面谈谈状态检测的包过滤防火墙。

三、攻击状态检测的包过滤

  状态检测技术最早是checkpoint提出的,在国内的许多防火墙都声称实现了状态检测技术。

  可是:)很多是没有实现的。到底什么是状态检测?

  一句话,状态检测就是从tcp连接的建立到终止都跟踪检测的技术。

  原先的包过滤,是拿一个一个单独的数据包来匹配规则的。可是我们知道,同一个tcp连接,他的数据包是前后关联的,先是syn包,-》数据包=》fin包。数据包的前后序列号是相关的。

  如果割裂这些关系,单独的过滤数据包,很容易被精心够造的攻击数据包欺骗!!!如nmap的攻击扫描,就有利用syn包,fin包,reset包来探测防火墙后面的网络。!

  相反,一个完全的状态检测防火墙,他在发起连接就判断,如果符合规则,就在内存登记了这个连接的状态信息(地址,port,选项。。),后续的属于同一个连接的数据包,就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息,都被丢弃了。这样这些攻击数据包,就不能饶过防火墙了。

  说状态检测必须提到动态规则技术。在状态检测里,采用动态规则技术,原先高端口的问题就可以解决了。实现原理是:平时,防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点,可是为了不影响正常的服务,防火墙一但检测到服务必须开放高端口时,如(ftp协议,irc等),防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后,这条规则就又被防火墙删除。这样,既保障了安全,又不影响正常服务,速度也快。!

  一般来说,完全实现了状态检测技术防火墙,智能性都比较高,一些扫描攻击还能自动的反应,因此,攻击者要很小心才不会被发现。

  但是,也有不少的攻击手段对付这种防火墙的。

  1 协议隧道攻击

  协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。

  例如,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。由

  于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机下面的命令是用于启动lokid服务器程序:

  lokid-p CI Cvl

  loki客户程序则如下启动:

  loki Cd172.29.11.191(攻击目标主机)-p CI Cv1 Ct3

  这样,lokid和loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。

  2 利用FTP-pasv绕过防火墙认证的攻击

  FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找"227"这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。

  攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。

  3 反弹木马攻击

  反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

  但是这种攻击的局限是:必须首先安装这个木马!!!所有的木马的第一步都是关键!

四、攻击代理

  代理是运行在应用层的防火墙,他实质是启动两个连接,一个是客户到代理,另一个是代理到目的服务器。

  实现上比较简单,和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢/1

  攻击代理的方法很多。

  这里就以wingate为例,简单说说了。(太累了)

  WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。

  黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。

  导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就给攻击者可乘之机。

  1 非授权Web访问

  某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。

  检测

  检测WinGate主机是否有这种安全漏洞的方法如下:

  1) 以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。

  2) 把浏览器的代理服务器地址指向待测试的WinGate主机。

  如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。

  2 非授权Socks访问

  在WinGate的缺省配置中,Socks代理(1080号Tcp端口)同样是存在安全漏洞。与打开的Web代理(80号Tcp端口)一样,外部攻击者可以利用Socks代理访问因特网。

  防范

  要防止攻击WinGate的这个安全脆弱点,管理员可以限制特定服务的捆绑。在多宿主(multi homed)系统上,执行以下步骤以限定如何提供代理服务。

  1选择Socks或WWWProxyServer属性。

  2选择Bindings标签。

  3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。

  非授权Telnet访问

  它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的inGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。

  检测

  检测WinGate主机是否有这种安全漏洞的方法如下:

  1.使用telnet尝试连接到一台WinGate服务器。

  [root@happy/tmp]#telnet172.29.11.191

  Trying172.29.11.191….

  Connectedto172.29.11.191.

  Escapecharacteris‘^]'.

  Wingate>10.50.21.5

  2.如果接受到如上的响应文本,那就输入待连接到的网站。

  3.如果看到了该新系统的登录提示符,那么该服务器是脆弱的。

  Connectedtohost10.50.21.5…Connected

  SunOS5.6

  Login:

  对策

  防止这种安全脆弱点的方法和防止非授权Socks访问的方法类似。在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。一般来说,在多宿主(multihomed)系统管理员可以通过执行以下步骤来完成:

  1.选择TelnetSever属性。

  2.选择Bindings标签。

  3.按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。

  五、后话

  有防火墙的攻击不单是上面的一点,我有什么写的不对的,大家指正。

  一直以来,黑客都在研究攻击防火墙的技术和手段,攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看,大概可以分为三类攻击。

  第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。

  第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制,从而 对防火墙和内部网络破坏。

  第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。

(0)

相关推荐

  • 黑客突破防火墙几种惯用手法

    首先,我们需要了解一些基本的防火墙实现原理.防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙.但是他们的基本实现都是类似的. │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │ 防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络.当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过.当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制. 说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,

  • 黑客突破防火墙常用的几种技术

    一.防火墙基本原理 首先,我们需要了解一些基本的防火墙实现原理.防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙.但是他们的基本实现都是类似的. │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │ 防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络.当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过.当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制. 说到访问控制,这是防火墙的核心了:),防火墙主要通过一个

  • 利用IP地址欺骗突破防火墙

    一般的访问控制主要在防火墙中进行设置,制定一些安全策略:如内部局域网的资源不允许外部网上的用户使用:不设防区(又称非军事区)可以为内部或外部局域网,其中的资源允许外部网的用户有限度地使用:可以使外部用户访问非军事区(DMZ区)的WEB服务器等等. 深入分析研究防火墙技术,利用防火墙配置和实现的漏洞,可以对它实施攻击.通常情况下,有效的攻击都是从相关的子网进行的,因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试. 突破防火墙系统最常用的方法是IP地址欺骗

  • 使用Http通道突破防火墙限制

    不少公司的防火墙作了较为严格的限制,以至于很多网络服务如QQ.MSN都无法运行,如果你还能够打开网页,那么,使用Http通道软件可以让你突破限制,可以在现有的网络条件中使用任何网络服务. 使用Http通道软件可以突破防火墙的限制,利用唯一Http访问的权限获得其他Internet应用.那么什么是通道呢?这里所谓的通道,是指一种绕过防火墙端口屏蔽的通讯方式.防火墙两端的数据包封装在防火墙所允许通过的数据包类型或是端口上,然后穿过防火墙与对方通讯,当封装的数据包到达目的地时,再将数据包还原,并将还原

  • 黑客如何给你的系统种木马

    相信很多朋友都听说过木马程序,总觉得它很神秘.很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的.今天,笔者就以最新的一款木马程序--黑洞2004,从种植.使用.隐藏.防范四个方面来为网络爱好者介绍一下木马的特性.需要提醒大家的是,在使用木马程序的时候,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种进行查杀. 操作步骤: 一.种植木马 现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端).你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运

  • 如何突破各种防火墙的防护

    现在随着人们的安全意识加强,防火墙一般都被公司企业采用来保障网络的安全,一般的攻击者在有防火墙的情况下,一般是很难入侵的.下面谈谈有防火墙环境下的攻击和检测. 一 防火墙基本原理 首先,我们需要了解一些基本的防火墙实现原理.防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙.但是他们的基本实现都是类似的. │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │ 防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络.当打开主机网络转

  • linux服务中开启防火墙的两种方式

    存在以下两种方式: 一.service方式 查看防火墙状态: [root@centos6 ~]# service iptables status iptables:未运行防火墙. 开启防火墙: [root@centos6 ~]# service iptables start 关闭防火墙: [root@centos6 ~]# service iptables stop 二.iptables方式 先进入init.d目录,命令如下: [root@centos6 ~]# cd /etc/init.d/

  • 解读什么是防火墙

    一. 防火墙的概念  近年来,随着普通计算机用户群的日益增长,"防火墙"一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种"防火墙"软件了.但是,并不是所有用户都对"防火墙"有所了解的,一部分用户甚至认为,"防火墙"是一种软件的名称--  到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种

  • 蜜罐技术:消除防火墙局限和脆弱

    防火墙是网络上使用最多的安全设备,是网络安全的重要基石.防火墙厂商为了占领市场,对防火墙的宣传越来越多,市场出现了很多错误的东西.其中一个典型的错误,是把防火墙万能化.但2002年8月的<计算机安全>中指出,防火墙的攻破率已经超过47%.正确认识和使用防火墙,确保网络的安全使用,研究防火墙的局限性和脆弱性已经十分必要. 防火墙十大局限性 一.防火墙不能防范不经过防火墙的攻击.没有经过防火墙的数据,防火墙无法检查. 二.防火墙不能解决来自内部网络的攻击和安全问题.防火墙可以设计为既防外也防内,谁

  • 剖析网站遭遇的三次入侵 分析黑客入侵方法

    随着教育信息化进程的推进,各类教育网站大量涌现.由于教育网站大多是学校计算机教师自己开发管理的小型网站,普通存在着设备.技术.专业人员不足的问题,网站自身存在漏洞,常常成为黑客攻击的目标,严重影响了正常业务的开展.这里,笔者希望通过对教育网站所遭遇的三次黑客入侵的剖析,来分析黑客常用的入侵方法和手段. 第一次遭遇入侵 1. 入侵现象:2004年春节,网站的公告栏上突然出现"此论坛有漏洞,请管理员修复"的内容,并被粘贴了一张图片. 2. 处理问题的过程:首先想到的是以为存在某个Windo

随机推荐