一、防火牆基本原理
首先,我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾,和狀態檢測的包過濾,應用層代理防火牆。但是他們的基本實現都是類似的。
│ │---路由器-----網卡│防火牆│網卡│----------內部網絡│ │
防火牆一般有兩個以上的網絡卡,一個連到外部(router),另一個是連到內部網絡。當打開主機網絡轉發功能時,兩個網卡間的網絡通訊能直接通過。當有防火牆時,他好比插在網卡之間,對所有的網絡通訊進行控製。
說到訪問控製,這是防火牆的核心了:),防火牆主要通過一個訪問控製表來判斷的,他的形式一般是一連串的如下規則:
1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的動作
2 deny ...........(deny就是拒絕。。)
3 nat ............(nat是地址轉換。後麵說)
防火牆在網絡層(包括以下的煉路層)接受到網絡數據包後,就從上麵的規則連表一條一條地匹配,如果符合就執行預先安排的動作了!如丟棄包。。。。
但是,不同的防火牆,在判斷攻擊行為時,有實現上的差別。下麵結合實現原理說說可能的攻擊。
二、攻擊包過濾防火牆
包過濾防火牆是最簡單的一種了,它在網絡層截獲網絡數據包,根據防火牆的規則表,來檢測攻擊行為。他根據數據包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口來過濾!!很容易受到如下攻擊:
1 ip 欺騙攻擊:
這種攻擊,主要是修改數據包的源,目的地址和端口,模仿一些合法的數據包來騙過防火牆的檢測。如:外部攻擊者,將他的數據報源地址改為內部網絡地址,防火牆看到是合法地址就放行了:)。可是,如果防火牆能結合接口,地址來匹配,這種攻擊就不能成功了:(
2 d.o.s拒絕服務攻擊
簡單的包過濾防火牆不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火牆受到d.o.s攻擊,他可能會忙於處理,而忘記了他自己的過濾功能。:)你就可以饒過了,不過這樣攻擊還很少的。!
3 分片攻擊
這種攻擊的原理是:在IP的分片包中,所有的分片包用一個分片偏移字段標誌分片包的順序,但是,隻有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火牆時,防火牆隻根據第一個分片包的Tcp信息判斷是否允許通過,而其他後續的分片不作防火牆檢測,直接讓它們通過。
這樣,攻擊者就可以通過先發送第一個合法的IP分片,騙過防火牆的檢測,接著封裝了惡意數據的後續分片包就可以直接穿透防火牆,直接到達內部網絡主機,從而威脅網絡和主機的安全。
4 木馬攻擊
對於包過濾防火牆最有效的攻擊就是木馬了,一但你在內部網絡安裝了木馬,防火牆基本上是無能為力的。
原因是:包過濾防火牆一般隻過濾低端口(1-1024),而高端口他不可能過濾的(因為,一些服務要用到高端口,因此防火牆不能關閉高端口的),所以很多的木馬都在高端口打開等待,如冰河,subseven等。。。
但是木馬攻擊的前提是必須先上傳,運行木馬,對於簡單的包過濾防火牆來說,是容易做的。這裏不寫這個了。大概就是利用內部網絡主機開放的服務漏洞。
早期的防火牆都是這種簡單的包過濾型的,到現在已很少了,不過也有。現在的包過濾采用的是狀態檢測技術,下麵談談狀態檢測的包過濾防火牆。
三、攻擊狀態檢測的包過濾
狀態檢測技術最早是checkpoint提出的,在國內的許多防火牆都聲稱實現了狀態檢測技術。
可是:)很多是沒有實現的。到底什麽是狀態檢測?
一句話,狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。
原先的包過濾,是拿一個一個單獨的數據包來匹配規則的。可是我們知道,同一個tcp連接,他的數據包是前後關聯的,先是syn包,-》數據包=》fin包。數據包的前後序列號是相關的。
如果割裂這些關係,單獨的過濾數據包,很容易被精心夠造的攻擊數據包欺騙!!!如nmap的攻擊掃描,就有利用syn包,fin包,reset包來探測防火牆後麵的網絡。!
相反,一個完全的狀態檢測防火牆,他在發起連接就判斷,如果符合規則,就在內存登記了這個連接的狀態信息(地址,port,選項。。),後續的屬於同一個連接的數據包,就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息,都被丟棄了。這樣這些攻擊數據包,就不能饒過防火牆了。
說狀態檢測必須提到動態規則技術。在狀態檢測裏,采用動態規則技術,原先高端口的問題就可以解決了。實現原理是:平時,防火牆可以過濾內部網絡的所有端口(1-65535),外部攻擊者難於發現入侵的切入點,可是為了不影響正常的服務,防火牆一但檢測到服務必須開放高端口時,如(ftp協議,irc等),防火牆在內存就可以動態地天加一條規則打開相關的高端口。等服務完成後,這條規則就又被防火牆刪除。這樣,既保障了安全,又不影響正常服務,速度也快。!
一般來說,完全實現了狀態檢測技術防火牆,智能性都比較高,一些掃描攻擊還能自動的反應,因此,攻擊者要很小心才不會被發現。
但是,也有不少的攻擊手段對付這種防火牆的。
首先,我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾,和狀態檢測的包過濾,應用層代理防火牆。但是他們的基本實現都是類似的。
│ │---路由器-----網卡│防火牆│網卡│----------內部網絡│ │
防火牆一般有兩個以上的網絡卡,一個連到外部(router),另一個是連到內部網絡。當打開主機網絡轉發功能時,兩個網卡間的網絡通訊能直接通過。當有防火牆時,他好比插在網卡之間,對所有的網絡通訊進行控製。
說到訪問控製,這是防火牆的核心了:),防火牆主要通過一個訪問控製表來判斷的,他的形式一般是一連串的如下規則:
1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的動作
2 deny ...........(deny就是拒絕。。)
3 nat ............(nat是地址轉換。後麵說)
防火牆在網絡層(包括以下的煉路層)接受到網絡數據包後,就從上麵的規則連表一條一條地匹配,如果符合就執行預先安排的動作了!如丟棄包。。。。
但是,不同的防火牆,在判斷攻擊行為時,有實現上的差別。下麵結合實現原理說說可能的攻擊。
二、攻擊包過濾防火牆
包過濾防火牆是最簡單的一種了,它在網絡層截獲網絡數據包,根據防火牆的規則表,來檢測攻擊行為。他根據數據包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口來過濾!!很容易受到如下攻擊:
1 ip 欺騙攻擊:
這種攻擊,主要是修改數據包的源,目的地址和端口,模仿一些合法的數據包來騙過防火牆的檢測。如:外部攻擊者,將他的數據報源地址改為內部網絡地址,防火牆看到是合法地址就放行了:)。可是,如果防火牆能結合接口,地址來匹配,這種攻擊就不能成功了:(
2 d.o.s拒絕服務攻擊
簡單的包過濾防火牆不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火牆受到d.o.s攻擊,他可能會忙於處理,而忘記了他自己的過濾功能。:)你就可以饒過了,不過這樣攻擊還很少的。!
3 分片攻擊
這種攻擊的原理是:在IP的分片包中,所有的分片包用一個分片偏移字段標誌分片包的順序,但是,隻有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火牆時,防火牆隻根據第一個分片包的Tcp信息判斷是否允許通過,而其他後續的分片不作防火牆檢測,直接讓它們通過。
這樣,攻擊者就可以通過先發送第一個合法的IP分片,騙過防火牆的檢測,接著封裝了惡意數據的後續分片包就可以直接穿透防火牆,直接到達內部網絡主機,從而威脅網絡和主機的安全。
4 木馬攻擊
對於包過濾防火牆最有效的攻擊就是木馬了,一但你在內部網絡安裝了木馬,防火牆基本上是無能為力的。
原因是:包過濾防火牆一般隻過濾低端口(1-1024),而高端口他不可能過濾的(因為,一些服務要用到高端口,因此防火牆不能關閉高端口的),所以很多的木馬都在高端口打開等待,如冰河,subseven等。。。
但是木馬攻擊的前提是必須先上傳,運行木馬,對於簡單的包過濾防火牆來說,是容易做的。這裏不寫這個了。大概就是利用內部網絡主機開放的服務漏洞。
早期的防火牆都是這種簡單的包過濾型的,到現在已很少了,不過也有。現在的包過濾采用的是狀態檢測技術,下麵談談狀態檢測的包過濾防火牆。
三、攻擊狀態檢測的包過濾
狀態檢測技術最早是checkpoint提出的,在國內的許多防火牆都聲稱實現了狀態檢測技術。
可是:)很多是沒有實現的。到底什麽是狀態檢測?
一句話,狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。
原先的包過濾,是拿一個一個單獨的數據包來匹配規則的。可是我們知道,同一個tcp連接,他的數據包是前後關聯的,先是syn包,-》數據包=》fin包。數據包的前後序列號是相關的。
如果割裂這些關係,單獨的過濾數據包,很容易被精心夠造的攻擊數據包欺騙!!!如nmap的攻擊掃描,就有利用syn包,fin包,reset包來探測防火牆後麵的網絡。!
相反,一個完全的狀態檢測防火牆,他在發起連接就判斷,如果符合規則,就在內存登記了這個連接的狀態信息(地址,port,選項。。),後續的屬於同一個連接的數據包,就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息,都被丟棄了。這樣這些攻擊數據包,就不能饒過防火牆了。
說狀態檢測必須提到動態規則技術。在狀態檢測裏,采用動態規則技術,原先高端口的問題就可以解決了。實現原理是:平時,防火牆可以過濾內部網絡的所有端口(1-65535),外部攻擊者難於發現入侵的切入點,可是為了不影響正常的服務,防火牆一但檢測到服務必須開放高端口時,如(ftp協議,irc等),防火牆在內存就可以動態地天加一條規則打開相關的高端口。等服務完成後,這條規則就又被防火牆刪除。這樣,既保障了安全,又不影響正常服務,速度也快。!
一般來說,完全實現了狀態檢測技術防火牆,智能性都比較高,一些掃描攻擊還能自動的反應,因此,攻擊者要很小心才不會被發現。
但是,也有不少的攻擊手段對付這種防火牆的。
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
