《防火墙ppt6第六章》由会员分享,可在线阅读,更多相关《防火墙ppt6第六章(39页珍藏版)》请在金锄头文库上搜索。
1、第6章 防火墙攻击,6.1 攻击类型和方法 6.2 防止攻击的方法 6.3 防火墙漏洞,防火墙目前主要分包过滤、状态检测的包过滤和应用层代理3大类防火墙,它们的实现原理都是类似的,一般有两个以上的网卡,一个连到外部,另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通信能直接通过。当有防火墙时,它好比插在网卡之间,对所有的网络通信进行控制。防火墙在网络层(包括以下的数据链路层)接收到网络数据包后,就从规则列表中一条一条地匹配,如果符合,就执行预先安排的动作,如没有匹配,就丢弃数据包。但是,不同的防火墙,在判断攻击行为时有实现上的差别。下面结合实现原理讲述几种可能的攻击。,6.1
2、攻击类型和方法,下一页,返回,6.1.1 攻击包过滤防火墙 包过滤防火墙是最简单的一种防火墙,它在网络层截获网络数据包,根据防火墙的规则表来检测攻击行为。它根据数据包的源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口来过滤。防火墙最容易受到如下攻击: 1.IP欺骗攻击 突破防火墙系统最常用的方法是IP地址欺骗,它同时也是其他一系列攻击方法的基础。之所以使用这个方法,是因为IP自身的缺点。IP协议依据IP头中的目的地址项来发送IP数据包。,6.1 攻击类型和方法,下一页,返回,上一页,如果目的地址是本地网络内的地址,该IP包就被直接发送到目的地。如果目的地址不在本地网络内,
3、该IP包就会被发送到网关,再由网关决定将其发送到何处,这是IP路由IP包的方法。 黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部站的分组过滤器,这种类型的攻击是非常危险的。关于涉及的分组真正是内部的还是外部的分组被包装得看起来像内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内,则它就把该分组按内部通信对待并让其通过。,6.1 攻击类型和方法,下一页,返回,上一页,这种攻击主要是修改数据包的源、目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。如外部攻击者将他的数据报源地址改为内部网络地址,防火墙看到是合法地址就放行了。可是,如果防火墙能结合接口和地
4、址来匹配,这种攻击就不能成功了。 2. DoS拒绝服务攻击 DoS(Denial of Service)也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝服务访问,破坏组织的正常运行,最终它会使部分Internet连接和网络系统失效。,6.1 攻击类型和方法,下一页,返回,上一页,DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。 DoS攻击的基本过程是:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的
5、,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。,6.1 攻击类型和方法,下一页,返回,上一页,简单的包过滤防火墙不能跟踪TCP的状态,很容易受到拒绝服务攻击,一旦防火墙受到DoS攻击,它可能会忙于处理,而忘记了自己的过滤功能。此时,黑客就可以绕过防火墙了,不过这样的攻击还是很少的。 3. 分片攻击 这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分
6、片包通过分组过滤防火墙时,防火墙只根据第一个分片包的TCP信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。,6.1 攻击类型和方法,下一页,返回,上一页,这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁网络和主机的安全。 4. 木马攻击 对于包过滤防火墙最有效的攻击就是木马了,一旦在内部网络安装了木马,防火墙基本上是无能为力的。原因是:包过滤防火墙一般只过滤低端口(11024),而高端口它是不可能过滤的,所以,很多的木马都在高端口打开等待,如冰河、subseven等。但是
7、木马攻击的前提是必须先上传,然后运行木马,对于简单的包过滤防火墙来说是容易做的。,6.1 攻击类型和方法,下一页,返回,上一页,6.1.2 攻击状态检测的包过滤 原先的包过滤,是拿一个一个单独的数据包来匹配规则的。可是大家知道,同一个TCP连接,它的数据包是前后关联的。如果割裂这些关系,单独的过滤数据包很容易被精心构造的攻击数据包欺骗,如nmap的攻击扫描就利用SYN包、FIN包、RESET包来探测防火墙后面的网络。相反,一个完全的状态检测防火墙,它在发起连接就判断,如果符合规则,就在内存登记了这个连接的状态信息(地址、Port、选项),后续的属于同一个连接的数据包就不需要检测而直接通过。,6
8、.1 攻击类型和方法,下一页,返回,上一页,一般来说,完全实现了状态检测技术的防火墙的智能性都比较高,一些扫描攻击还能自动地反应,因此,攻击者要很小心才不会被发现。但是,也有不少的攻击手段对付这种防火墙的,下面列举几个例子。 1. 协议隧道攻击 协议隧道的攻击思想类似于VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。例如,许多简单地允许ICMP回应请求、ICMP回应应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。,6.1 攻击类型和方法,下一页,返回,上一页,2. 利用FTP-PASV绕过防火墙认证的攻击 FT
9、P-PASV攻击是针对防火墙实施入侵的重要手段之一。目前,很多防火墙不能过滤这种攻击手段,如Check Point的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找“227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。,6.1 攻击类型和方法,下一页,返回,上一页,3. 反弹木马攻击 反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认
10、为是一个合法的连接,因此,基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。 但是这种攻击的局限是:必须首先安装这个木马,所有的木马的第一步都是关键。,6.1 攻击类型和方法,下一页,返回,上一页,6.1.3 攻击代理 代理是运行在应用层的防火墙,它实质是启动两个连接,一个是客户到代理,另一个是代理到目的服务器。实现上比较简单,和前面一样也是根据规则过滤。这里就以Wingate为例,简单介绍攻击代理。 Wingate是目前应用非常广泛的一种Windows平台上的代理防火墙软件,内部用户可以通过一台安装有Wingate的主机访问外部网络,但是它也存在几个安全脆弱点。黑客经常利用
11、这些安全漏洞获得Wingate的非授权Web,Socks和Telnet的访问,从而伪装成Wingate主机的身份对下一个攻击目标发动攻击。,6.1 攻击类型和方法,下一页,返回,上一页,因此,这种攻击非常难于被跟踪和记录。导致Wingate安全漏洞的原因大多数是管理员没有根据网络的实际情况对Wingate代理防火墙软件进行合理地设置,只是简单地从默认设置安装完毕后就让软件运行,这就给攻击者可乘之机。 6.1.4 会话劫持攻击 会话劫持(Session Hijack)是一种结合了嗅探以及欺骗技术在内的攻击手段。从广义上讲,会话劫持就是在一次正常的通信过程中,黑客作为第三方参与到其中,或者是在数据
12、流(例如基于TCP的会话)里注射额外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成有黑客联系。,6.1 攻击类型和方法,下一页,返回,上一页,1. 攻击原理 会话劫持利用了TCP/IP工作原理来设计攻击。TCP使用端到端的连接,即TCP用来唯一标识每一条已经建立连接的TCP链路。另外,TCP在进行数据传输时,TCP报文首部的两个字段序号(seq)和确认序号(ackseq)非常重要。对于一台主机来说,其收发的两个相临TCP报文之间的序号和确认序号的关系为:它所要发出的报文中的序号值应等于它所刚收到的报文中的确认序号值,而它所要发送报文中确认序号值应为它所收到报文中序号的值加上该报文中所
13、发送的TCP净荷的长度。,6.1 攻击类型和方法,下一页,返回,上一页,TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击,如HTTP,FTP,Telnet等。对于攻击者来说,必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文,这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号,从而可以得知其中一台主机对将要收到的下一个TCP报文段中序号和确认序号值的要求。这样,在该合法主机收到另一台合法主机发送的TCP报文前,攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文,就可以把合法的TCP会话建立在攻击主机与被攻击主机之
14、间。,6.1 攻击类型和方法,下一页,返回,上一页,带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号值的要求发生变化,从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证,从而使攻击者直接进入对被攻击主机的访问状态,因此对系统安全构成的威胁比较严重。,6.1 攻击类型和方法,下一页,返回,上一页,2. 攻击工具 (1)Juggernaut Juggernaut是一个可以被用来进行TCP会话攻击的网络sniffer程序。可以运行于Linux操作系统的终端机上,安装和运行都很简单。
15、可以设置值、暗号或标志这3种不同的方式来通知Juggernaut程序是否对所有的网络流量进行观察。例如,一个典型的标记就是登录暗号。无论何时Juggernaut发现这个暗号,就会捕获会话,这意味着黑客可以利用捕获到的用户密码再次进入系统。,6.1 攻击类型和方法,下一页,返回,上一页,(2)Hunt Hunt是一个用来听取、截取和劫持网络上的活动会话的程序。 (3)TTY Watcher TTY Watcher是一个免费的程序,允许人们监视并且劫持一台单一主机上的连接。 (4)IP Watcher IP Watcher是一个商用的会话劫持工具,它允许监视会话并且获得积极的反会话劫持方法。它基于
16、TTY Watcher,此外还提供一些额外的功能,IP Watcher可以监视整个网络。,6.1 攻击类型和方法,下一页,返回,上一页,(5)Ettercap Ettercap是一款以太网环境下的网络监视、拦截和记录工具,支持多种主动或被动的协议分析(甚至跟加密相关的SSH,HTTPS等),有数据插入、过滤、保持连接同步等多种功能,也有一个能支持多种嗅探模式的、强大而完整的嗅探套件,支持插件,能够检查网络环境是否是交换局域网,并且能使用主动或被动的操作系统指纹识别技术了解当前局域网的情况。,6.1 攻击类型和方法,下一页,返回,上一页,3. 会话劫持防范 会话劫持防范是一个比较大的工程。首先应该使用交换式网络替代共享式网络,虽然像Hunt这样的工具可以在交换环境中实现会话劫持,但还是应该使用交换式网络替代共享式网络,因为这样可以防范最基本的嗅探攻击。然而,最根本的解决办法是采用加密通信,使用SSH代替Telnet、使用SSL代替HTTP,或者干脆使用IPSec/VPN,这样,会话劫持就无用武之地了。其次,监视网络流量,如发现网络中出现大量的ACK包,则有可能已被进行了会话劫持攻击。,
