首先，我們需要了解一些基本的防火墻實現(xiàn)原理。防火墻目前主要分包過濾，和狀態(tài)檢測的包過濾，應(yīng)用層代理防火墻。但是他們的基本實現(xiàn)都是類似的。 

　　│ │---路由器-----網(wǎng)卡│防火墻│網(wǎng)卡│----------內(nèi)部網(wǎng)絡(luò)│ │ 

　　防火墻一般有兩個以上的網(wǎng)絡(luò)卡，一個連到外部(router)，另一個是連到內(nèi)部網(wǎng)絡(luò)。當打開主機網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能時，兩個網(wǎng)卡間的網(wǎng)絡(luò)通訊能直接通過。當有防火墻時，他好比插在網(wǎng)卡之間，對所有的網(wǎng)絡(luò)通訊進行控制。 

　　說到訪問控制，這是防火墻的核心了：)，防火墻主要通過一個訪問控制表來判斷的，他的形式一般是一連串的如下規(guī)則： 

　　1 accept from+ 源地址，端口 to+ 目的地址，端口+ 采取的動作 

　　2 deny ...........(deny就是拒絕。。) 

　　3 nat ............(nat是地址轉(zhuǎn)換。后面說) 

　　防火墻在網(wǎng)絡(luò)層(包括以下的煉路層)接受到網(wǎng)絡(luò)數(shù)據(jù)包后，就從上面的規(guī)則連表一條一條地匹配，如果符合就執(zhí)行預(yù)先安排的動作了！如丟棄包。。。。 

　　但是，不同的防火墻，在判斷攻擊行為時，有實現(xiàn)上的差別。下面結(jié)合實現(xiàn)原理說說可能的攻擊。 

　　二、攻擊包過濾防火墻 

　　包過濾防火墻是最簡單的一種了，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為。他根據(jù)數(shù)據(jù)包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾！！很容易受到如下攻擊： 

　　1 ip 欺騙攻擊： 

　　這種攻擊，主要是修改數(shù)據(jù)包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來騙過防火墻的檢測。如：外部攻擊者，將他的數(shù)據(jù)報源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就放行了：)。可是，如果防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了：( 

　　2 d.o.s拒絕服務(wù)攻擊 

　　簡單的包過濾防火墻不能跟蹤 tcp的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦防火墻受到d.o.s攻擊，他可能會忙于處理，而忘記了他自己的過濾功能。：)你就可以饒過了，不過這樣攻擊還很少的。！ 

　　3 分片攻擊 

　　這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序，但是，只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火墻時，防火墻只根據(jù)第一個分片包的Tcp信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。 

　　這樣，攻擊者就可以通過先發(fā)送第一個合法的IP分片，騙過防火墻的檢測，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透防火墻，直接到達內(nèi)部網(wǎng)絡(luò)主機，從而威脅網(wǎng)絡(luò)和主機的安全。 

　　4 木馬攻擊 

　　對于包過濾防火墻最有效的攻擊就是木馬了，一但你在內(nèi)部網(wǎng)絡(luò)安裝了木馬，防火墻基本上是無能為力的。 

　　原因是：包過濾防火墻一般只過濾低端口(1-1024)，而高端口他不可能過濾的(因為，一些服務(wù)要用到高端口，因此防火墻不能關(guān)閉高端口的)，所以很多的木馬都在高端口打開等待，如冰河，subseven等。。。 

　　但是木馬攻擊的前提是必須先上傳，運行木馬，對于簡單的包過濾防火墻來說，是容易做的。這里不寫這個了。大概就是利用內(nèi)部網(wǎng)絡(luò)主機開放的服務(wù)漏洞。 

　　早期的防火墻都是這種簡單的包過濾型的，到現(xiàn)在已很少了，不過也有?，F(xiàn)在的包過濾采用的是狀態(tài)檢測技術(shù)，下面談?wù)劆顟B(tài)檢測的包過濾防火墻。

三、攻擊狀態(tài)檢測的包過濾 

　　狀態(tài)檢測技術(shù)最早是checkpoint提出的，在國內(nèi)的許多防火墻都聲稱實現(xiàn)了狀態(tài)檢測技術(shù)。 

　　可是：)很多是沒有實現(xiàn)的。到底什么是狀態(tài)檢測？ 

　　一句話，狀態(tài)檢測就是從tcp連接的建立到終止都跟蹤檢測的技術(shù)。 

　　原先的包過濾，是拿一個一個單獨的數(shù)據(jù)包來匹配規(guī)則的。可是我們知道，同一個tcp連接，他的數(shù)據(jù)包是前后關(guān)聯(lián)的，先是syn包，-》數(shù)據(jù)包=》fin包。數(shù)據(jù)包的前后序列號是相關(guān)的。 

　　如果割裂這些關(guān)系，單獨的過濾數(shù)據(jù)包，很容易被精心夠造的攻擊數(shù)據(jù)包欺騙！?。∪鏽map的攻擊掃描，就有利用syn包，fin包，reset包來探測防火墻后面的網(wǎng)絡(luò)。！ 

　　相反，一個完全的狀態(tài)檢測防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個連接的狀態(tài)信息(地址，port，選項。。),后續(xù)的屬于同一個連接的數(shù)據(jù)包，就不需要在檢測了。直接通過。而一些精心夠造的攻擊數(shù)據(jù)包由于沒有在內(nèi)存登記相應(yīng)的狀態(tài)信息，都被丟棄了。這樣這些攻擊數(shù)據(jù)包，就不能饒過防火墻了。 

　　說狀態(tài)檢測必須提到動態(tài)規(guī)則技術(shù)。在狀態(tài)檢測里，采用動態(tài)規(guī)則技術(shù)，原先高端口的問題就可以解決了。實現(xiàn)原理是：平時，防火墻可以過濾內(nèi)部網(wǎng)絡(luò)的所有端口(1-65535),外部攻擊者難于發(fā)現(xiàn)入侵的切入點，可是為了不影響正常的服務(wù)，防火墻一但檢測到服務(wù)必須開放高端口時，如(ftp協(xié)議，irc等)，防火墻在內(nèi)存就可以動態(tài)地天加一條規(guī)則打開相關(guān)的高端口。等服務(wù)完成后，這條規(guī)則就又被防火墻刪除。這樣，既保障了安全，又不影響正常服務(wù)，速度也快。！ 

　　一般來說，完全實現(xiàn)了狀態(tài)檢測技術(shù)防火墻，智能性都比較高，一些掃描攻擊還能自動的反應(yīng)，因此，攻擊者要很小心才不會被發(fā)現(xiàn)。 

　　但是，也有不少的攻擊手段對付這種防火墻的。 

　　1 協(xié)議隧道攻擊 

　　協(xié)議隧道的攻擊思想類似與VPN的實現(xiàn)原理，攻擊者將一些惡意的攻擊數(shù)據(jù)包隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對內(nèi)部網(wǎng)絡(luò)進行攻擊。 

　　例如，許多簡單地允許ICMP回射請求、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。Loki和lokid(攻擊的客戶端和服務(wù)端)是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個系統(tǒng)上安裝上lokid服務(wù)端，而后攻擊者就可以通過loki客戶端將希望遠程執(zhí)行的攻擊命令(對應(yīng)IP分組)嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端lokid，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。由 

　　于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過防火墻的認證，順利地到達攻擊目標主機下面的命令是用于啟動lokid服務(wù)器程序： 

　　lokid-p CI Cvl 

　　loki客戶程序則如下啟動： 

　　loki Cd172.29.11.191(攻擊目標主機)-p CI Cv1 Ct3 

　　這樣，lokid和loki就聯(lián)合提供了一個穿透防火墻系統(tǒng)訪問目標系統(tǒng)的一個后門。 

　　2 利用FTP-pasv繞過防火墻認證的攻擊 

　　FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個包中尋找"227"這個字符串。如果發(fā)現(xiàn)這種包，將從中提取目標地址和端口，并對目標地址加以驗證，通過后，將允許建立到該地址的TCP連接。 

　　攻擊者通過這個特性，可以設(shè)法連接受防火墻保護的服務(wù)器和服務(wù)。

　　3 反彈木馬攻擊 

　　反彈木馬是對付這種防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時地連接外部攻擊者控制的主機，由于連接是從內(nèi)部發(fā)起的，防火墻(任何的防火墻)都認為是一個合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。 

　　但是這種攻擊的局限是：必須首先安裝這個木馬?。?！所有的木馬的第一步都是關(guān)鍵！

最新評論