關于防火墻幾種攻擊方法的研究

關于防火墻幾種攻擊方法的研究

[論文關鍵詞]防火墻網(wǎng)絡攻擊包過濾NAT代理協(xié)議隧道FTP-pasv[論文摘要]通過對幾種不同防火墻的攻擊方法和原理進行研究，針對黑客攻擊的方法和原理，我們能夠部署網(wǎng)絡安全防御策略，為構建安全穩(wěn)定的網(wǎng)絡安全體系提供了理論原理和試驗成果。

防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，以保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許。

從理論上看，防火墻處于網(wǎng)絡安全的最底層，負責網(wǎng)絡間的安全認證與傳輸，但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化，現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網(wǎng)絡應用提供相應的安全服務。盡管如此，事情沒有我們想象的完美，攻擊我們的是人，不是機器，聰明的黑客們總會想到一些辦法來突破防火墻。

一、包過濾型防火墻的攻擊

包過濾技術是一種完全基于網(wǎng)絡層的安全技術，只能根據(jù)Packet的來源、目標和端口等網(wǎng)絡信息進行判斷，無法識別基于應用層的惡意入侵。

包過濾防火墻是在網(wǎng)絡層截獲網(wǎng)絡Packet，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為。根據(jù)Packet的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾。所以它很容易受到如下攻擊。

（一）ip欺騙

如果修改Packet的源，目的地址和端口，模仿一些合法的Packet就可以騙過防火墻的檢測。如：我將Packet中的源地址改為內(nèi)部網(wǎng)絡地址，防火墻看到是合法地址就會放行。

這種攻擊應該怎么防范呢？

如果防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了。

eth1連接外部網(wǎng)絡，eth2連接內(nèi)部網(wǎng)絡，所有源地址為內(nèi)網(wǎng)地址的Packet一定是先到達eth2，我們配置eth1只接受來自eth2的源地址為內(nèi)網(wǎng)地址的Packet，那么這種直接到達eth1的偽造包就會被丟棄。

（二）分片偽造

分片是在網(wǎng)絡上傳輸IP報文時采用的一種技術手段，但是其中存在一些安全隱患。PingofDeath，teardrop等攻擊可能導致某些系統(tǒng)在重組分片的過程中宕機或者重新啟動。這里我們只談談如何繞過防火墻的檢測。

在IP的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序，但是，只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火墻時，防火墻只根據(jù)第一個分片包的Tcp信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。

工作原理弄清楚了，我們來分析：從上面可以看出，我們?nèi)绻氪┻^防火墻只需要第一個分片，也就是端口號的信息符合就可以了。

那我們先發(fā)送第一個合法的IP分片，將真正的端口號封裝在第二個分片中，那樣后續(xù)分片包就可以直接穿透防火墻，直接到達內(nèi)部網(wǎng)絡主機，通過我的實驗，觀察攻擊過程中交換的數(shù)據(jù)報片斷，發(fā)現(xiàn)攻擊數(shù)據(jù)包都是只含一個字節(jié)數(shù)據(jù)的報文，而且發(fā)送的次序已經(jīng)亂得不可辨別，但對于服務器TCP/IP堆棧來說，它還是能夠正確重組的。

二、NAT防火墻的攻擊

這里其實談不上什么攻擊，只能說是穿過這種防火墻的技術，而且需要新的協(xié)議支持，因為這種方法的是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進行連接，我們稱為UDP打洞技術。

UDP打洞技術允許在有限的范圍內(nèi)建立連接。STUN（TheSimpleTraversalofUserDatagramProtocolthroughNetworkAddressTranslators）協(xié)議實現(xiàn)了一種打洞技術可以在有限的情況下允許對NAT行為進行自動檢測然后建立UDP連接。在UDP打洞技術中，NAT分配的外部端口被發(fā)送給協(xié)助直接連接的第三方。在NAT后面的雙方都向?qū)Ψ降耐獠慷丝诎l(fā)送一個UDP包，這樣就在NAT上面創(chuàng)建了端口映射，雙方就此可以建立連接。一旦連接建立，就可以進行直接的UDP通信了。

但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對誰明確的通信。一般地，NAT見了的端口映射，如果一段時間不活動后就是過期。為了保持UDP端口映射，必須每隔一段時間就發(fā)送UDP包，就算沒有數(shù)據(jù)的時候，只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。

由于各方面原因，這次沒有對建立TCP的連接做研究，估計是能連接的。

三、代理防火墻的攻擊

代理防火墻運行在應用層，攻擊的方法很多。這里就以WinGate為例。WinGate是以前應用非常廣泛的一種Windows95/NT代理防火墻軟件，內(nèi)部用戶可以通過一臺安裝有WinGate的主機訪問外部網(wǎng)絡，但是它也存在著幾個安全脆弱點。

黑客經(jīng)常利用這些安全漏洞獲得WinGate的非授權Web、Socks和Telnet的訪問，從而偽裝成WinGate主機的身份對下一個攻擊目標發(fā)動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。

導致WinGate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡的實際情況對WinGate代理防火墻軟件進行合理的設置，只是簡單地從缺省設置安裝完畢后就讓軟件運行，這就讓攻擊者可從以下幾個方面攻擊：

（一）非授權Web訪問

某些WinGate版本（如運行在NT系統(tǒng)下的2.1d版本）在誤配置情況下，允許外部主機完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用WinGate主機來對Web服務器發(fā)動各種Web攻擊（如CGI的漏洞攻擊等），同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。

檢測WinGate主機是否有這種安全漏洞的方法如下：

（1）以一個不會被過濾掉的連接（譬如說撥號連接）連接到因特網(wǎng)上。

（2）把瀏覽器的代理服務器地址指向待測試的WinGate主機。

如果瀏覽器能訪問到因特網(wǎng)，則