【正文】 防火墻有“三難防”困擾，我們?cè)谑褂密娪?、民用及各類?jì)算機(jī)網(wǎng)絡(luò)時(shí)，一定要克服那種“有了防火墻就可以高枕無憂”的麻痹思想和僥幸心理，要高度重視計(jì)算機(jī)網(wǎng)絡(luò)的信息安全，扎扎實(shí)實(shí)落實(shí)各級(jí)安全保密部門強(qiáng)調(diào)的安全措施與各項(xiàng)安全制度要求，并不斷豐富完善計(jì)算機(jī)網(wǎng)絡(luò)安全的各種技術(shù)措施。對(duì)密碼技術(shù)、電磁輻射防泄露技術(shù)、系統(tǒng)入侵防范技術(shù)、病毒防治技術(shù)等加以綜合運(yùn)用，不斷進(jìn)行革新創(chuàng)新，提高網(wǎng)絡(luò)的安全防范能力，提高對(duì)抗網(wǎng)上“黑客”或被非法攻擊以及病毒襲擾的能力，鑄起我們堅(jiān)實(shí)的信息盾牌。第四章 繞過防火墻認(rèn)證的攻擊現(xiàn)在隨著人們的安全意識(shí)加強(qiáng)，防火墻一般都被公司企業(yè)采用來保障網(wǎng)絡(luò)的安全，一般的攻擊者在有防火墻的情況下，一般是很難入侵的。上面我們分析了一下入侵有防火墻服務(wù)器過程中的相關(guān)問題，下面談?wù)勧槍?duì)各種防火墻環(huán)境下的可能的攻擊手段。 繞過包過濾防火墻 包過濾防火墻是最簡(jiǎn)單的一種了，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢測(cè)攻擊行為。他根據(jù)數(shù)據(jù)包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾！很容易受到如下攻擊： IP 欺騙攻擊 這種攻擊，主要是修改數(shù)據(jù)包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來騙過防火墻的檢測(cè)。如：外部攻擊者，將他的數(shù)據(jù)報(bào)源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就放行了?？墒?，如果防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了。 DOS拒絕服務(wù)攻擊 簡(jiǎn)單的包過濾防火墻不能跟蹤 TCP的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦防火墻受到DOS攻擊，他可能會(huì)忙于處理，而忘記了他自己的過濾功能。你就可以饒過了，不過這樣攻擊還很少的。 分片攻擊 這種攻擊的原理是：在IP的分片包中，所有的分片包用一個(gè)分片偏移字段標(biāo)志分片包的順序 ，但是，只有第一個(gè)分片包含有TCP端口號(hào)的信息。當(dāng)IP分片包通過分組過濾防火墻時(shí)，防火墻只根據(jù)第一個(gè)分片包的TCP信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測(cè)，直接讓它們通過。這樣，攻擊者就可以通過先發(fā)送第一個(gè)合法的IP分片，騙過防火墻的檢測(cè)，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透防火墻，直接到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)，從而威脅網(wǎng)絡(luò)和主機(jī)的安全。 木馬攻擊 對(duì)于包過濾防火墻最有效的攻擊就是木馬了，一旦你在內(nèi)部網(wǎng)絡(luò)安裝了木馬，防火墻基本上是無能為力的。原因是：包過濾防火墻一般只過濾低端口（11024），而高端口他不可能過濾的（因?yàn)?，一些服?wù)要用到高端口，因此防火墻不能關(guān)閉高端口的），所以很多的木馬都在高端口打開等待，如冰河，SUB SEVEN等。但是木馬攻擊的前提是必須先上傳，運(yùn)行木馬，對(duì)于簡(jiǎn)單的包過濾防火墻來說，是容易做的。這里不寫這個(gè)了。大概就是利用內(nèi)部網(wǎng)絡(luò)主機(jī)開放的服務(wù)漏洞。早期的防火墻都是這種簡(jiǎn)單的包過濾型的，到現(xiàn)在已很少了，不過也有?，F(xiàn)在的包過濾采用的是狀態(tài)檢測(cè)技術(shù)，下面談?wù)劆顟B(tài)檢測(cè)的包過濾防火墻。 繞過狀態(tài)檢測(cè)的包過濾防火墻狀態(tài)檢測(cè)技術(shù)最早是CHECKPOINT提出的，在國(guó)內(nèi)的許多防火墻都聲稱實(shí)現(xiàn)了狀態(tài)檢測(cè)技術(shù)。可是很多是沒有實(shí)現(xiàn)的。到底什么是狀態(tài)檢測(cè)？一句話，狀態(tài)檢測(cè)就是從TCP連接的建立到終止都跟蹤檢測(cè)的技術(shù)。 原先的包過濾，是拿一個(gè)一個(gè)單獨(dú)的數(shù)據(jù)包來匹配規(guī)則的?？墒俏覀冎?，同一個(gè)TCP連接，他的數(shù)據(jù)包是前后關(guān)聯(lián)的，先是SYN包，=》數(shù)據(jù)包=》FIN包。數(shù)據(jù)包的前后序列號(hào)是相關(guān)的。如果割裂這些關(guān)系，單獨(dú)的過濾數(shù)據(jù)包，很容易被精心構(gòu)造的攻擊數(shù)據(jù)包欺騙！如NMAP的攻擊掃描，就有利用SYN包，F(xiàn)IN包，RESET包來探測(cè)防火墻后面的網(wǎng)絡(luò)。相反，一個(gè)完全的狀態(tài)檢測(cè)防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個(gè)連接的狀態(tài)信息（地址，端口，選項(xiàng)）,后續(xù)的屬于同一個(gè)連接的數(shù)據(jù)包，就不需要在檢測(cè)了。直接通過。而一些精心構(gòu)造的攻擊數(shù)據(jù)包由于沒有在內(nèi)存登記相應(yīng)的狀態(tài)信息，都被丟棄了。這樣這些攻擊數(shù)據(jù)包，就不能饒過防火墻了。說狀態(tài)檢測(cè)必須提到動(dòng)態(tài)規(guī)則技術(shù)。在狀態(tài)檢測(cè)里，采用動(dòng)態(tài)規(guī)則技術(shù)，原先高端口的問題就可以解決了。實(shí)現(xiàn)原理是：平時(shí)，防火墻可以過濾內(nèi)部網(wǎng)絡(luò)的所有端口(165535),外部攻擊者難于發(fā)現(xiàn)入侵的切入點(diǎn)，可是為了不影響正常的服務(wù)，防火墻一旦檢測(cè)到服務(wù)必須開放高端口時(shí)，如（FTP協(xié)議，IRC等），防火墻在內(nèi)存就可以動(dòng)態(tài)地天加一條規(guī)則打開相關(guān)的高端口。等服務(wù)完成后，這條規(guī)則就又被防火墻刪除。這樣，既保障了安全，又不影響正常服務(wù)，速度也快。 一般來說，完全實(shí)現(xiàn)了狀態(tài)檢測(cè)技術(shù)防火墻，智能性都比較高，一些掃描攻擊還能自動(dòng)的反應(yīng)，因此，攻擊者要很小心才不會(huì)被發(fā)現(xiàn)。但是，也有不少的攻擊手段對(duì)付這種防火墻的。 協(xié)議隧道攻擊 協(xié)議隧道的攻擊思想類似與VPN的實(shí)現(xiàn)原理，攻擊者將一些惡意的攻擊數(shù)據(jù)包隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。例如，許多簡(jiǎn)單地允許ICMP回射請(qǐng)求、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。LOKI和LOKID（攻擊的客戶端和服務(wù)端）是實(shí)施這種攻擊的有效的工具。在實(shí)際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個(gè)系統(tǒng)上安裝上LOKID服務(wù)端，而后攻擊者就可以通過LOKI客戶端將希望遠(yuǎn)程執(zhí)行的攻擊命令（對(duì)應(yīng)IP分組）嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端LOKID，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過防火墻的認(rèn)證，順利地到達(dá)攻擊目標(biāo)主機(jī)下面的命令是用于啟動(dòng)LOKID服務(wù)器程序： lokidp–i–vl loki客戶程序則如下啟動(dòng)： lokid (攻擊目標(biāo)主機(jī))p–I–v1–t3 這樣，lokid和loki就聯(lián)合提供了一個(gè)穿透防火墻系統(tǒng)訪問目標(biāo)系統(tǒng)的一個(gè)后門。 利用FTPPASV繞過防火墻認(rèn)證的攻擊 FTPPASV攻擊是針對(duì)防火墻實(shí)施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CHECKPOINT的FIREWALL1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個(gè)包 ！墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了：（