【導讀】析，通過對網(wǎng)絡結(jié)構(gòu)、防火墻的一些缺陷以及系統(tǒng)漏洞的分析，繞過防火墻對系統(tǒng)進行攻擊的目的。文中以一次成功的繞過防火。措施的建議以及對新一代防火墻的發(fā)展趨勢的展望。便利的同時，也要面對因特網(wǎng)在數(shù)據(jù)安全方面所帶來的挑戰(zhàn)。確保網(wǎng)絡上傳輸信息的私有性，不被非法竊取、篡改和偽造；目前，解決第一個問題的方法主要是采用信息加。共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。漏洞，從而失去防護的作用。因此，安全并不僅僅只是以上所說。由于Inter的開放性和超越組織與國界等特點，使。它在安全性上存在一些隱患。而且信息安全的內(nèi)涵也發(fā)生了根本的變化。偶然和惡意的原因遭到破壞、更改和泄露。數(shù)據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡安全保護措施的目的是確。保經(jīng)過網(wǎng)絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。和部門必須給予高度重視。視網(wǎng)絡運行狀態(tài)。信息加密技術(shù)分為兩類：即對稱加密和非對稱加密。在的另一個問題是雙方共享一把私有密鑰，

　　

【正文】 標志分片包的順序 ，但是，只有第一個分片包含有 TCP 端口號的信息。當 IP 分片包通過分組過濾防火墻時，防火墻只根據(jù)第一個分 片包的 TCP信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。這樣，攻擊者就可以通過先發(fā)送第一個合法的 IP 分片，騙過防火墻的檢測，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透防火墻，直接到達內(nèi)部網(wǎng)絡主機，從而威脅網(wǎng)絡和主機的安全。 木馬攻擊 對于包過濾防火墻最有效的攻擊就是木馬了，一 旦 你在內(nèi)部網(wǎng)絡安裝了木馬，防火墻基本上是無能為力的。原因是：包過濾防火墻一般只過濾低端口（ 11024），而高端口他不可能過濾的（因為，一些服務要用到高端口，因此防火墻不能關(guān) 閉高端口的），所以很多的木馬都在高端口打開等待，如 18 冰河， SUB SEVEN 等 。 但是木馬攻擊的前提是必須先上傳，運行木馬，對于簡單的包過濾防火墻來說，是容易做的。這里不寫這個了。大概就是利用內(nèi)部網(wǎng)絡主機開放的服務漏洞。早期的防火墻都是這種簡單的包過濾型的，到現(xiàn)在已很少了，不過也有?，F(xiàn)在的包過濾采用的是狀態(tài)檢測技術(shù)，下面談談狀態(tài)檢測的包過濾防火墻。 繞 過 狀態(tài)檢測的包過濾防火墻 狀態(tài)檢測技術(shù)最早是 CHECKPOINT 提出的，在國內(nèi)的許多防火墻都聲稱實現(xiàn)了狀態(tài)檢測技術(shù)?？墒呛芏嗍菦]有實現(xiàn)的。到底什么是狀態(tài) 檢測？一句話，狀態(tài)檢測就是從 TCP 連接的建立到終止都跟蹤檢測的技術(shù)。 原先的包過濾，是拿一個一個單獨的數(shù)據(jù)包來匹配規(guī)則的。可是我們知道，同一個 TCP 連接，他的數(shù)據(jù)包是前后關(guān)聯(lián)的，先是 SYN 包， =》數(shù)據(jù)包 =》 FIN 包。數(shù)據(jù)包的前后序列號是相關(guān)的。如果割裂這些關(guān)系，單獨的過濾數(shù)據(jù)包，很容易被精心 構(gòu) 造的攻擊數(shù)據(jù)包欺騙！如 NMAP 的攻擊掃描，就有利用 SYN 包， FIN 包， RESET 包來探測防火墻后面的網(wǎng)絡。相反，一個完全的狀態(tài)檢測防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個連接的狀態(tài)信息（ 地址， 端口 ，選項） ,后續(xù)的屬于同一個連接的數(shù)據(jù)包，就不需要在檢測了。直接通過。而一些精心 構(gòu) 造的攻擊數(shù)據(jù)包由于沒有在內(nèi)存登記相應的狀態(tài)信息，都被丟棄了。這樣這些攻擊數(shù)據(jù)包，就不能饒過防火墻了。說狀態(tài)檢測必須提到動態(tài)規(guī)則技術(shù)。在狀態(tài)檢測里，采用動態(tài)規(guī)則技術(shù)，原先高端口的問題就可以解決了。實現(xiàn)原理是：平時，防火墻可以過濾內(nèi)部網(wǎng)絡的所有端口 (165535),外部攻擊者難于發(fā)現(xiàn)入侵的切入點，可是為了不影響正常的服務，防火墻一 旦 檢測到服務必須開放高端口時，如（ FTP 協(xié)議， IRC 等），防火墻在內(nèi)存就可以動態(tài)地天加一條規(guī) 則打開相關(guān)的高端口。等服務完成后，這條規(guī)則就又被防火墻刪除。這樣，既保障了安全，又不影響正常服務，速度也快。 一般來說，完全實現(xiàn)了狀態(tài)檢測技術(shù)防火墻，智能性都比較高，一些掃描攻擊還能自動的反應，因此，攻擊者要很小心才不會被發(fā)現(xiàn)。但是，也有不少的攻擊手段對付這種防火墻的。 協(xié)議隧道攻擊 協(xié)議隧道的攻擊思想類似與 VPN 的實現(xiàn)原理，攻擊者將一些惡意的攻擊數(shù)據(jù)包隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對內(nèi)部網(wǎng)絡進行攻擊。例如，許多簡單地允許 ICMP 回射請求、 ICMP 回射 應答和 UDP 分組通過的防火墻就容易受到 ICMP 和 UDP 協(xié)議隧道的攻擊。 LOKI 和 LOKID（攻擊的客戶端和服務端）是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡的一個系統(tǒng)上安裝上 LOKID 服務端，而后 19 攻擊者就可以通過 LOKI 客戶端將希望遠程執(zhí)行的攻擊命令（對應 IP 分組）嵌入在 ICMP 或 UDP 包頭部，再發(fā)送給內(nèi)部網(wǎng)絡服務端 LOKID，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。由于許多防火墻允許 ICMP 和 UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過防火墻的認證，順 利地到達攻擊目標主機下面的命令是用于啟動 LOKID 服務器程序： lokidp–i–vl loki客戶程序則如下啟動： lokid (攻擊目標主機 )p–I–v1–t3 這樣， lokid 和 loki 就聯(lián)合提供了一個穿透防火墻系統(tǒng)訪問目標系統(tǒng)的一個后門。 利用 FTPPASV 繞過防火墻認證的攻擊 FTPPASV 攻擊是針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如 CHECKPOINT 的 FIREWALL1，在監(jiān)視 FTP服務器發(fā)送給客戶端的包的過程中，它在每個包 中尋找 227這個字符串。如果發(fā)現(xiàn)這種包，將從中提取目標地址和端口，并對目標地址加以驗證，通過后，將允許建立到該地址的 TCP 連接。攻擊者通過這個特性，可以設(shè)法連接受防火墻保護的服務 器和服務 。 反彈木馬攻擊 反彈木馬是對付這種防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡的反彈木馬定時地連接外部攻擊者控制的主機，由于連接是從內(nèi)部發(fā)起的，防火墻（任何的防火墻）都認為是一個合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。 但是這種攻擊的局限是：必須首先安裝這個木馬！所有的木馬的第一步都是關(guān)鍵！ 繞過代理防火墻 代理是運行在應用層的防火墻，他實質(zhì)是啟動兩個連接，一個是客戶到代理，另一個是代理到目的服務器。實現(xiàn)上比較簡單 ，和前面的一樣也是根據(jù)規(guī)則過濾。由于運行在應用層速度比較慢 ， 攻擊代理的方法很多。 這里就以 Wingate 為例， Wingate 是目前應用非常廣泛的一種Windows95/NT 代理防火墻軟件，內(nèi)部用戶可以通過一臺安裝有 Wingate 的主機訪問外部網(wǎng)絡，但是它也存在著幾個安全脆弱點。黑客經(jīng)常利用這些安全漏洞獲得 Wingate 的非授權(quán) Web、 Socks 和 Tel 的訪問，從而偽裝成Wingate 主機的身份對下一個攻擊目標發(fā)動攻擊。因此，這種攻擊非常難于 20 被跟蹤和記錄。導致 Wingate 安全漏洞的原因 大多數(shù)是管理員沒有根據(jù)網(wǎng)絡的實際情況對 Wingate 代理防火墻軟件進行合理的設(shè)置，只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運行，這就給攻擊者可乘之機。 非授權(quán) Web 訪問 某些 Wingate 版本（如運行在 NT 系統(tǒng)下的 版本）在誤配置情況下，允許外部主機完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用Wingate 主機來對 Web 服務器發(fā)動各種 Web 攻擊（如 CGI 的漏洞攻擊等），同時由于 Web 攻擊的所有報文都是從 80 號 Tcp 端口穿過的，因此，很難追蹤到攻擊者的來源。 檢測 Wingate 主機是否有這種安全漏洞的方法如下： 1) 、 以一個不會被過濾掉的連接（譬如說撥號連接）連接到因特網(wǎng)上。 2)、 把瀏覽器的代理服務器地址指向待測試的 Wingate 主機。 如果瀏覽器能訪問到因特網(wǎng)，則 Wingate 主機存在著非授權(quán) Web 訪問漏洞。 非授權(quán) Socks 訪問 在 Wingate 的缺省配置中， Socks 代理（ 1080 號 Tcp 端口）同樣是存在安全漏洞。與打開的 Web 代理（ 80 號 Tcp 端口）一樣，外部攻擊者可以利用 Socks 代理訪 問因特網(wǎng)。 要防止攻擊 Wingate 的這個安全脆弱點，管理員可以限制特定服務的捆綁。在多宿主（ multihomed）系統(tǒng)上，執(zhí)行以下步驟以限定如何提供代理服務。 選擇 Socks 或 WWW Proxy Server 屬性。 選擇 Bindings 標簽。 按下 Connections Will Be Accepted On The Following Interface Only 按鈕，并指定本 Wingate 服務器的內(nèi)部接口。 21 結(jié) 束 語 本文簡要地講解了有關(guān) 網(wǎng)絡安全和防火墻的一些知識及針對有防火墻服務器的入侵，通過做這個題目的畢業(yè)設(shè)計，我學到了很多與防火墻相關(guān)的知識和有關(guān)網(wǎng)絡安全的基本理論，增長了見識，拓寬了視野，受益匪淺。 當 然，安全并不僅僅只是以上所說的防火墻或是其他的一些安全設(shè)備，更多的因素還是在人，因為人是主體、是管理者。再好的安全設(shè)備如果沒有人的精心維護就會形同虛設(shè)。可以說任何的網(wǎng)絡安全事故，歸咎到底都是人的失 誤。因此，在關(guān)注網(wǎng)絡安全的同時，我們更應該關(guān)注管理員的素質(zhì)和管理水平，所以給與他們適當?shù)呐嘤柺潜夭豢缮俚?，一支高素質(zhì)的管理員隊伍會使網(wǎng)絡的安全 性倍增。 但是僅僅做到這樣是不夠的，我知道這篇論文還有很多不完善的地方，甚至還有一些錯誤，懇請大家給與我批評指正，我會努力使其完善。 通過這次畢業(yè)設(shè)計，自己學到了許多知識，而且也深刻的體會到還有許多東西要學，同時，也為自己在以后的工作和學習中樹立正確的態(tài)度打下了堅實的基礎(chǔ)，我認為這才是最重要的。 參考文獻 網(wǎng)絡安全與防火墻技術(shù) 人民郵電出版社 黑客 X 檔案 2020 第二期 吉 林 科學 技 術(shù) 出 版 社 黑 客 防 線 2020 精 華 本 （ 攻 冊 ） 人 民 郵 電 出 版 社 計 算 機 安 全 （ ） 人 民 郵 電 出 版 社 黑 客 防 線 2020 精 華 奉 獻 本 人 民 郵 電 出 版 社 防 火 墻 技 術(shù) 指 南 [M] 機 械 工 業(yè) 出 版 社 I nt e r n e t 防 火 墻 技 術(shù) 新 發(fā) 展 微 電 腦 世 界