|
引用 | 编辑
samuelc
2005-08-18 22:11 |
楼主
▼ |
||
x1
此篇文章并非小弟原创,原作者已不可考,它是我网管笔记的一部份分享给有需要的人 现在随着人们的安全意识加强,防火墙一般都被公司企业采用来保障网路的安全,一般的攻 击者在有防火墙的情况下,一般是很难入侵的。下面谈谈有防火墙环境下的攻击和检测。 一 防火墙基本原理 首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的 包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。 │ │---路由器-----网卡│防火墙│网卡│----------内部网路│ │ 防火墙一般有两个以上的网路卡,一个连到外部(router),另一个是连到内部网路。当打开 主机网路转发功能时,两个网卡间的网路通讯能直接通过。当有防火墙时,他好比插在网卡 之间,对所有的网路通讯进行控制。 说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,他的 形式一般是一连串的如下规则: 1 accept from+ 源位址,埠 to+ 目的地址,埠+ 采取的动作 2 deny ...........(deny就是拒绝。。) 3 nat ............(nat是位址转换。后面说) 防火墙在网路层(包括以下的炼路层)接受到网路资料包后,就从上面的规则连表一条一条 地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。 但是,不同的防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说说可能的 攻击。 二 攻击包过滤防火墙 包过滤防火墙是最简单的一种了,它在网路层截获网路资料包,根据防火墙的规则表,来检 测攻击行为。他根据资料包的源IP位址;目的IP位址;TCP/UDP源埠;TCP/UDP目的埠来 过滤!!很容易受到如下攻击: 1 ip 欺骗攻击: 这种攻击,主要是修改资料包的源,目的地址和埠,模仿一些合法的资料包来骗过防火墙 的检测。如:外部攻击者,将他的资料报源位址改为内部网路位址,防火墙看到是合法位址 就放行了:)。可是,如果防火墙能结合介面,位址来匹配,这种攻击就不能成功了:( 2 d.o.s拒绝服务攻击 简单的包过滤防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o. s攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不过这样攻 击还很少的。! 3 分片攻击 这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移栏位标志分片包的顺序 ,但是,只有第一个分片包含有TCP埠号的资讯。当IP分片包通过分组过滤防火墙时,防火 墙只根据第一个分片包的Tcp资讯判断是否允许通过,而其他后续的分片不作防火墙检测,直 接让它们通过。 这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意 资料的后续分片包就可以直接穿透防火墙,直接到达内部网路主机,从而威胁网路和主机的 安全。 4 木马攻击 对于包过滤防火墙最有效的攻击就是木马了,一但你在内部网路安装了木马,防火墙基本上 是无能为力的。 原因是:包过滤防火墙一般只过滤低埠(1-1024),而高埠他不可能过滤的(因为,一 些服务要用到高埠,因此防火墙不能关闭高埠的),所以很多的木马都在高埠打开等 待,如冰河,subseven等。。。 但是木马攻击的前提是必须先上传,运行木马,对于简单的包过滤防火墙来说,是容易做的 。这里不写这个了。大概就是利用内部网路主机开放的服务漏洞。 早期的防火墙都是这种简单的包过滤型的,到现在已很少了,不过也有。现在的包过滤采用 的是状态检测技术,下面谈谈状态检测的包过滤防火墙。 .. 访客只能看到部份内容,免费 加入会员  x0
|
|||
|
引用 | 编辑
admin0n
2007-12-06 10:53 |
2楼
▲ ▼ |
|
我不认为现在有有效的方法可以突破防火墙,
该怎么说呢,我很少发现事件记录当中,有记录未开放PORTS的活动, 即使是XP SP2内建的软体防火墙ICS,就已经够防大部分的攻击, 更不用说专业硬体式防火墙, 应该没有人可以从这篇文章学会怎样突破防火墙? x0
|
|
|
引用 | 编辑
jack1984yw
2007-12-13 23:16 |
3楼
▲ |
|
小弟猜想
楼主只是把一些基本的传达出来 知道有哪些方法可以会使用 但能不能突破 这有可能有点难度 谢谢楼主分享 有知道了一些知识 x1
|
|