关于防火墙几种攻击方法的研究

《关于防火墙几种攻击方法的研究》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、关于防火墙几种攻击方法的研究　　[论文关键词]防火墙网络攻击包过滤NAT代理协议隧道FTP-pasv　　[论文摘要]通过对几种不同防火墙的攻击方法和原理进行研究，针对黑客攻击的方法和原理，我们能够部署网络安全防御策略，为构建安全稳定的网络安全体系提供了理论原理和试验成果。　　　　防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络

2、之间的通信是否被允许。　　从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此，事情没有我们想象的完美，攻击我们的是人，不是机器，聪明的黑客们总会想到一些办法来突破防火墙。　　　　一、包过滤型防火墙的攻击　　　　包过滤技术是一种完全基于网络层的安全技术,只能根据Packet的来源、目标和端口等网络信息进行判断,无法识

3、别基于应用层的恶意入侵。　　包过滤防火墙是在网络层截获网络Packet，根据防火墙的规则表，来检测攻击行为。根据Packet的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口来过滤。所以它很容易受到如下攻击。　　　　（一）ip欺骗　　如果修改Packet的源，目的地址和端口，模仿一些合法的Packet就可以骗过防火墙的检测。如：我将Packet中的源地址改为内部网络地址，防火墙看到是合法地址就会放行。　　这种攻击应该怎么防范呢？　　如果防火墙能结合接口，地址来匹配，这种攻击就不能成功了。　　

4、eth1连接外部网络,eth2连接内部网络，所有源地址为内网地址的Packet一定是先到达eth2，我们配置eth1只接受来自eth2的源地址为内网地址的Packet，那么这种直接到达eth1的伪造包就会被丢弃。　　　　（二）分片伪造　　分片是在网络上传输IP报文时采用的一种技术手段，但是其中存在一些安全隐患。PingofDeath,teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。　　在IP的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但

5、是，只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的Tcp信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。　　工作原理弄清楚了，我们来分析：从上面可以看出，我们如果想穿过防火墙只需要第一个分片，也就是端口号的信息符合就可以了。　　那我们先发送第一个合法的IP分片，将真正的端口号封装在第二个分片中，那样后续分片包就可以直接穿透防火墙，直接到达内部网络主机，通过我的实验，观察攻击过程中交换的数据报片断，发现攻击数据包都是只含一个字节数据的报文，

6、而且发送的次序已经乱得不可辨别，但对于服务器TCP/IP堆栈来说，它还是能够正确重组的。　　　　二、NAT防火墙的攻击　　　　这里其实谈不上什么攻击，只能说是穿过这种防火墙的技术，而且需要新的协议支持，因为这种方法的是为了让两个不同NAT后面的p2p软件用户可以不通过端口映射直接进行连接，我们称为UDP打洞技术。　　UDP打洞技术允许在有限的范围内建立连接。STUN（TheSimpleTraversalofUserDatagramProtocolthroughNet.　　（三）非授权Tel访问　　它是P回射请求、

7、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid（攻击的客户端和服务端）是实施这种攻击的有效的工具。在实际攻击中，攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端，而后攻击者就可以通过loki客户端将希望远程执行的攻击命令（对应IP分组）嵌入在ICMP或UDP包头部，再发送给内部网络服务端lokid，由它执行其中的命令，并以同样的方式返回结果。　　由于许多防火墙允许ICMP和UDP分组自由出入，因此攻击者的恶意数据就能附带在正常的分组，绕过防火墙

8、的认证，顺利地到达攻击目标主机。　　　　（二）利用FTP-pasv绕过防火墙认证的攻击　　FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Fire.