《绕过防火墙的攻击手段及防护技术》由会员分享,可在线阅读,更多相关《绕过防火墙的攻击手段及防护技术(12页珍藏版)》请在金锄头文库上搜索。
1、目 录摘 要 1一、 引 言1二、背景2(一) 、防火墙系统的基本知识 21、防火墙的起源和原理22、防火墙的定义和特性23、防火墙的任务3(二) 、防火墙技术分类 31、包过滤型防火墙 32、应用代理型防火墙4三、绕过防火墙的攻击手段5(一)、欺骗攻击 51、IP 欺骗52、EMAIL 欺骗 5(二)、拒绝服务攻击 51、Dos 拒绝服务 52、Ddos 分布式拒绝服务5(三)、分片攻击 5(四)、木马攻击 51、冰河木马62、Subseven 6(五)、协议隧道攻击 6四、结合入侵检测的防火墙系统6(一) 、系统的设计思想 61、防火墙系统的缺陷62、引入入侵检测63、入侵检测技术7(二)
2、、系统的设计组建 81、构成系统的组成体系 82、确定系统的检测机制 83、建立系统的入侵规则库94、完成系统的模型结构 9五、结束语10致 谢 11参考文献及资料 12ABSTRACT 13绕过防火墙的攻击手段及防护技术摘 要 网络攻击,作为广大内部网络的头号敌人,如今已经变得越来越普遍和难以防范。而防火墙作为被普遍采用的主要防护手段,被各种网络攻击看作争相努力克服绕过的首要障碍。面对越来越多的挑战,传统的防火墙技术已力不从心。本文首先讨论了防火墙系统的基本知识和技术分类,并在分析了绕过防火墙攻击的种种攻击手段后,研究对应的的防护技术。并提出了一个结合入侵检测技术的新型防火墙系统。通过结合入
3、侵检测技术积极主动的实时防御特性,以日志记录为检测机制,各部分协调配合,最终构建出一个完整地系统结构。关键词 防火墙;网络安全;包过滤;入侵检测;日志一、 引言随着网络技术的进步和网络应用的发展,互联网已经成为企业和个人的工作生活中的重要平台,网络安全问题也显得越来越重要,而互联网本身所具有的开放性、自由性、国际性不仅带来种种便利,也对信息安全带来更大的要求。现在防火墙已经普遍成为各企业网络中实施安全保护的核心,作为传统的网络安全技术,防火墙在网络安全的保护中发挥了重要的作用,一般的攻击者在有防火墙的情况下,是很难入侵的。但是随着时间的推移,在日益发展的网络技术面前,传统防火墙技术所存在的缺陷
4、与不足越来越多的表现出来,已经不能很好的履行自己的职责。随着网络犯罪的猖獗,利用计算机犯罪的攻击技术也得到了发展进步。黑客们通过种种手段绕过防火墙对网络系统进行攻击。给社会和个人都带来了巨大的危害和经济损失。所以我们必须清醒的意识到防火墙所面临的危险,充分认识了解防火墙系统的基本知识,研究分析绕过防火墙攻击的手段,并在此基础上探讨提出相应的防护技术。作者就是按照这个思路展开全文论述的。下面将首先介绍背景,然后将提出分析问题,最后得出结论。二、背景(一) 、防火墙系统的基本知识1、防火墙的起源和原理1986 年美国的 Digital(迪特罗)公司在 Internet(因特网)上安装了全球第一个商
5、用防火墙系统,提出了防火墙的概念。从此以后,防火墙技术突飞猛进。市场上推出了众多不同种类不同功能的防火墙产品,并随着技术的变革进步不断更新换代。“防火墙”这个术语参考来自应用在建筑结构里的安全技术。防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙” 。但是,防火墙必须有一个重要的门,供人们进入和离开房屋。所以,防火墙在增强安全性的同时必须允许必要的访问。在这里我借鉴了古代真正用于防火的防火墙的喻义,来说明它指的是隔离在本地网络与外界网络之间的一道防御系统。当本地网络接上 Internet 访问外部
6、世界并接受外部世界的访问与之交互通信时,防火墙就是插在该网络和 Internet 之间的一道安全屏障。它可以检测并阻断来自外部通过网络对本网络的威胁和入侵,必要的时候隔离或限制网络互访来保护内部网络。这道防御系统就是“防火墙”或“防火墙系统”。2、防火墙的定义和特性防火墙(firewall)是由软件、硬件构成的系统,用来在两个网络之间实施接入控制策略。按照 William Cheswick(威廉切萨维克)和 Steven Bellovin(史蒂芬 贝诺文)对防火墙的定义,1防火墙是一个由多个部件组成的集合或系统,它被放置在两个网络之间,并具有以下特性: 所有的从内部到外部或从外部到内部的通信都
7、必须经过它。这是防火墙所处网络的位置特性,也是一个必要前提。因为只有当防火墙是内、外部网络之间通信的惟一通道时,才能全面有效地监测保护本地网络的安全。根据美国国家安全局制定的信息保障技术框架 ,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。防火墙在互连网络中的位置如图 1 所示 2。从图中可以看出
8、,防火墙的一端连接着用户内部的局域网,而另一端则连接着互联网。一般都将防火墙内的网络称为“可信赖的网络”(trusted network) ,而将外部的 internet 称为“不可信赖的网络” (mistrustful network) 。所有的内、外部网络之间的通信都要经过防火墙。不可信赖的网络 可信赖的网络 图 1 防火墙在互连网络中的位置 有内部访问策略授权的通信才被允许通过。这是防火墙的工作原理特性。防火墙之所以能保护企业内部网络,就是依据这样的工作原理或者说是防护机制进行的。用在两个网络之间实施的接入控制策略是由使用防火墙的用户自行制定的。这种安全策略应当最适合用户自己的需要。它可
9、以由管理员自由设置企业内部网络的安全策略,使允许的通信不受影响,而不允许的通信全部拒绝在内部网络之外。 系统本身具有很强的抗攻击能力。这是防火墙之所以能担当内部网络安全防护重任的先决条件。防火墙处于网络的边缘,它像个边界卫士一样,时刻准备迎击黑客的入侵,这样就要求防火墙本身具有强大的抗击入侵本领。而具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行 8。3、防火墙的任务 防火墙系统在实施安全的过程中是至关重要的。防火墙系统的一个防火墙策略要符合四
10、个分组过滤 分组过滤 路由器 R 应用网关 路由器外局域网 内局域网G 内联网因特网包过滤规则分析报头字段IP UDP 和 TCP应用下一个规则目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标: 实现用户的安全策略前面说到用户得为自己选择设定一个最适合自己的安全策略,而防火墙的主要意图就是强制执行你的安全策略。这是防火墙的基本任务。 创建一个阻塞点防火墙在外部网和内部网间建立一个检查点,并强制所有进出流量都通过检查点,以全面监视、过滤和检查所有进出的流量。网络安全产业称这些检查点为阻塞点。也
11、叫做网络边界。 强制日志记录防火墙能够强制进行日志记录,从而方便管理员监视所有来自外部网或互联网的访问。日志记录可以提供完备的基本信息,好的日志策略也是实现适当网络安全的有效工具之一。 限制网络暴露防火墙在用户的内部网络周围创建了一个保护的边界,当远程节点侦测用户的内部网络时,只能看到防火墙,无法探知内部网络的信息。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查,以限制从外部发动的攻击。 (二) 、防火墙系统的技术分类防火墙技术虽然发展出了很多,但总体来讲可以分为基于过滤器(filter-based)和基于代理(proxy-based)的两大类。前者以 Ch
12、eckPoint FireWall(以色列国家级防火墙)和 Cisco PIX(美国思科公司检查防火墙)为代表,后者以美国 NAI Gauntlet(美国网络联盟公司交叉封锁防火墙)为代表 3。1、包过滤(Packet filtering)型防火墙包过滤型防火墙是最简单的一种,几乎是与路由器同步产生的,在网络层截获网络数据包,根据预先定义好的规则表来审查每个数据包的 IP(Internet Protocol, 网际协议)源地址、IP 目的地址、传输协议 TCP(Transfer Control Protoco, 传输控制协议) 、UDP (User Datagram Protocol,用户数据报协议) 、 ICMP(Internet Control Messages Protocol,网间控制报文协议) 、TCP/UDP 源端口、TCP/UDP 目的端口等参数是否与对应规则相匹配。图 2 为包过滤器操作流程图。是否包是否允许被传输允许包是否 否是
