導語：防火墻攻擊方法研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[論文關鍵詞]防火墻網絡攻擊包過濾NAT協議隧道FTP-pasv

[論文摘要]通過對幾種不同防火墻的攻擊方法和原理進行研究，針對黑客攻擊的方法和原理，我們能夠部署網絡安全防御策略，為構建安全穩定的網絡安全體系提供了理論原理和試驗成果。

防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，以保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許。

從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。盡管如此，事情沒有我們想象的完美，攻擊我們的是人，不是機器，聰明的黑客們總會想到一些辦法來突破防火墻。

一、包過濾型防火墻的攻擊

包過濾技術是一種完全基于網絡層的安全技術,只能根據Packet的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意入侵。

包過濾防火墻是在網絡層截獲網絡Packet，根據防火墻的規則表，來檢測攻擊行為。根據Packet的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾。所以它很容易受到如下攻擊。

（一）ip欺騙

如果修改Packet的源，目的地址和端口，模仿一些合法的Packet就可以騙過防火墻的檢測。如：我將Packet中的源地址改為內部網絡地址，防火墻看到是合法地址就會放行。

這種攻擊應該怎么防范呢？

如果防火墻能結合接口，地址來匹配，這種攻擊就不能成功了。

eth1連接外部網絡,eth2連接內部網絡，所有源地址為內網地址的Packet一定是先到達eth2，我們配置eth1只接受來自eth2的源地址為內網地址的Packet，那么這種直接到達eth1的偽造包就會被丟棄。

（二）分片偽造

分片是在網絡上傳輸IP報文時采用的一種技術手段，但是其中存在一些安全隱患。PingofDeath,teardrop等攻擊可能導致某些系統在重組分片的過程中宕機或者重新啟動。這里我們只談談如何繞過防火墻的檢測。

在IP的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序，但是，只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火墻時，防火墻只根據第一個分片包的Tcp信息判斷是否允許通過，而其他后續的分片不作防火墻檢測，直接讓它們通過。

工作原理弄清楚了，我們來分析：從上面可以看出，我們如果想穿過防火墻只需要第一個分片，也就是端口號的信息符合就可以了。

那我們先發送第一個合法的IP分片，將真正的端口號封裝在第二個分片中，那樣后續分片包就可以直接穿透防火墻，直接到達內部網絡主機，通過我的實驗，觀察攻擊過程中交換的數據報片斷，發現攻擊數據包都是只含一個字節數據的報文，而且發送的次序已經亂得不可辨別，但對于服務器TCP/IP堆棧來說，它還是能夠正確重組的。

二、NAT防火墻的攻擊

這里其實談不上什么攻擊，只能說是穿過這種防火墻的技術，而且需要新的協議支持，因為這種方法的是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進行連接，我們稱為UDP打洞技術。

UDP打洞技術允許在有限的范圍內建立連接。STUN（TheSimpleTraversalofUserDatagramProtocolthroughNetworkAddressTranslators）協議實現了一種打洞技術可以在有限的情況下允許對NAT行為進行自動檢測然后建立UDP連接。在UDP打洞技術中，NAT分配的外部端口被發送給協助直接連接的第三方。在NAT后面的雙方都向對方的外部端口發送一個UDP包，這樣就在NAT上面創建了端口映射，雙方就此可以建立連接。一旦連接建立，就可以進行直接的UDP通信了。

但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對誰明確的通信。一般地，NAT見了的端口映射，如果一段時間不活動后就是過期。為了保持UDP端口映射，必須每隔一段時間就發送UDP包，就算沒有數據的時候，只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。

由于各方面原因，這次沒有對建立TCP的連接做研究，估計是能連接的。

三、防火墻的攻擊

防火墻運行在應用層,攻擊的方法很多。這里就以WinGate為例。WinGate是以前應用非常廣泛的一種Windows95/NT防火墻軟件，內部用戶可以通過一臺安裝有WinGate的主機訪問外部網絡，但是它也存在著幾個安全脆弱點。

黑客經常利用這些安全漏洞獲得WinGate的非授權Web、Socks和Telnet的訪問，從而偽裝成WinGate主機的身份對下一個攻擊目標發動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。

導致WinGate安全漏洞的原因大多數是管理員沒有根據網絡的實際情況對WinGate防火墻軟件進行合理的設置，只是簡單地從缺省設置安裝完畢后就讓軟件運行，這就讓攻擊者可從以下幾個方面攻擊：

（一）非授權Web訪問

某些WinGate版本（如運行在NT系統下的2.1d版本）在誤配置情況下，允許外部主機完全匿名地訪問因特網。因此，外部攻擊者就可以利用WinGate主機來對Web服務器發動各種Web攻擊（如CGI的漏洞攻擊等），同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。

檢測WinGate主機是否有這種安全漏洞的方法如下：

（1）以一個不會被過濾掉的連接（譬如說撥號連接）連接到因特網上。

（2）把瀏覽器的服務器地址指向待測試的WinGate主機。

如果瀏覽器能訪問到因特網，則WinGate主機存在著非授權Web訪問漏洞。

（二）非授權Socks訪問

在WinGate的缺省配置中，Socks（1080號Tcp端口）同樣是存在安全漏洞。與打開的Web（80號Tcp端口）一樣，外部攻擊者可以利用Socks訪問因特網。

（三）非授權Telnet訪問

它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的WinGate服務器的Telnet服務，攻擊者可以使用別人的主機隱藏自己的蹤跡，隨意地發動攻擊。

檢測WinGate主機是否有這種安全漏洞的方法如下：

1)使用telnet嘗試連接到一臺WinGate服務器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris''''^]''''.

Wingate>10.50.21.5

2)如果接受到如上的響應文本，那就輸入待連接到的網站。

3)如果看到了該新系統的登錄提示符，那么該服務器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

其實只要我們在WinGate中簡單地限制特定服務的捆綁就可以解決這個問題。

四、監測型防火墻的攻擊

一般來說，完全實現了狀態檢測技術防火墻，智能性都比較高，普通的掃描攻擊還能自動的反應。但是這樣智能的防火墻也會受到攻擊！

（一）協議隧道攻擊

協議隧道的攻擊思想類似與VPN的實現原理，攻擊者將一些惡意的攻擊Packet隱藏在一些協議分組的頭部，從而穿透防火墻系統對內部網絡進行攻擊。

比如說，許多簡單地允許ICMP回射請求、ICMP回射應答和UDP分組通過的防火墻就容易受到ICMP和UDP協議隧道的攻擊。Loki和lokid（攻擊的客戶端和服務端）是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設法在內部網絡的一個系統上安裝上lokid服務端，而后攻擊者就可以通過loki客戶端將希望遠程執行的攻擊命令（對應IP分組）嵌入在ICMP或UDP包頭部，再發送給內部網絡服務端lokid，由它執行其中的命令，并以同樣的方式返回結果。

由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數據就能附帶在正常的分組，繞過防火墻的認證，順利地到達攻擊目標主機。

（二）利用FTP-pasv繞過防火墻認證的攻擊

FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監視FTP服務器發送給客戶端的包的過程中，它在每個包中尋找“227”這個字符串。如果發現這種包，將從中提取目標地址和端口，并對目標地址加以驗證，通過后，將允許建立到該地址的TCP連接。

攻擊者通過這個特性，可以設法連接受防火墻保護的服務器和服務。

五、通用的攻擊方法

（一）木馬攻擊

反彈木馬是對付防火墻的最有效的方法。攻擊者在內部網絡的反彈木馬定時地連接外部攻擊者控制的主機，由于連接是從內部發起的，防火墻（任何的防火墻）都認為是一個合法的連接，因此基本上防火墻的盲區就是這里了。防火墻不能區分木馬的連接和合法的連接。

說一個典型的反彈木馬，目前變種最多有“毒王”之稱的“灰鴿子”，該木馬由客戶端主動連接服務器，服務器直接操控。非常方便。

(二)d.o.s拒絕服務攻擊

簡單的防火墻不能跟蹤tcp的狀態，很容易受到拒絕服務攻擊，一旦防火墻受到d.o.s攻擊，它可能會忙于處理，而忘記了自己的過濾功能。簡單的說明兩個例子。

Land（LandAttack）攻擊：在Land攻擊中，黑客利用一個特別打造的SYN包，它的源地址和目標地址都被設置成某一個服務器地址進行攻擊。此舉將導致接受服務器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息并創建一個空連接，每一個這樣的連接都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢。

IP欺騙DOS攻擊：這種攻擊利用TCP協議棧的RST位來實現，使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。假設現在有一個合法用戶(a.a.a.a)已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為a.a.a.a，并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后，認為從a.a.a.a發送的連接有錯誤，就會清空緩沖區中已建立好的連接。這時，合法用戶a.a.a.a再發送合法數據，服務器就已經沒有這樣的連接了，該用戶就被拒絕服務而只能重新開始建立新的連接。

六、結論

我們必須承認以現在的防火墻技術，無法給我們一個相當安全的網絡。網絡中是沒有百分之百安全的，由于我們面對的黑客都屬于聰明的高技術性計算機專家，攻擊時的變數太大，所以網絡安全不可能單靠防火墻來實現，只可能通過不斷完善策略、協議等根本因素才行。

在防火墻目前還不算長的生命周期中，雖然問題不斷，但是，它也在科學家的苦心經營下不斷自我完善，從單純地攔截一次來自黑客的惡意進攻，逐步走向安全事件管理及安全信息管理的大路，并將最終匯入網絡安全管理系統的大海，這應該是一種歷史的必然。一旦防火墻把網絡安全管理當作自我完善的終極目的，就等同于將發展的方向定位在了網絡安全技術的制高點，如果成功，防火墻將成為未來網絡安全技術中不可缺少的一部分。

參考文獻：

[1]W．RichardAs.TCP/IP詳解卷一：協議[M].機械工業出版社，2000.

[2]黎連業,張維.防火墻及其應用技術[M].北京：清華大學，2004.

[3]MarcusGoncalves.防火墻技術指南[M].北京：機械工業出版社，2000.

[4]閻慧.防火墻原理與技術[M].北京：機械工業出版社，2004.

[5]王達.網管員必讀網絡安全（第2版）[M].北京：電子工業出版社，2007.