|
樓主 |
發表於 2009-1-30 19:47:05
|
顯示全部樓層
三 攻擊狀態偵測的包過濾
狀態偵測技術最早是checkpoint提出的,在國內的許多
防火牆都聲稱實現了狀態偵測技術。
可是:)很多是沒有實現的。到底什麼是狀態偵測?
一句話,狀態偵測就是從tcp連接的建立到終止都跟蹤
偵測的技術。
原先的包過濾,是拿一個一個單獨的數據包來匹配規則的。
可是我們知道,同一個tcp連接,他的數據包是前後關聯的,
先是syn包,-》數據包=》fin包。數據包的前後序列號是相關的。
如果割裂這些關係,單獨的過濾數據包,很容易被精心
夠造的攻擊數據包欺騙!!!如nmap的攻擊掃描,
就有利用syn包,fin包,reset包來探測防火牆後面的網路。!
相反,一個完全的狀態偵測防火牆,他在發起連接就判斷,
如果符合規則,就在記憶體登記了這個連接的狀態資訊
(地址,port,選項。。),後續的屬於同一個連接的數據包,
就不需要在偵測了。直接透過。而一些精心夠造的攻擊數據包
由於沒有在記憶體登記相應的狀態資訊,都被丟棄了。
這樣這些攻擊數據包,就不能饒過防火牆了。
說狀態偵測必須提到動態規則技術。在狀態偵測裏,
採用動態規則技術,原先高連接埠的問題就可以解決了。
實現原理是:平時,防火牆可以過濾內部網路的所有
連接埠(1-65535),外部攻擊者難於發現入侵的切入點,
可是為了不影響正常的服務,防火牆一但偵測到服務必須
開放高連接埠時,如(ftp協議,irc等),防火牆在記憶體
就可以動態地天加一條規則打開相關的高連接埠。
等服務完成後,這條規則就又被防火牆刪除。這樣,
既保障了安全,又不影響正常服務,速度也快。!
一般來說,完全實現了狀態偵測技術防火牆,
智能性都比較高,一些掃描攻擊還能自動的反應,
因此,攻擊者要很小心才不會被發現。
但是,也有不少的攻擊手段對付這種防火牆的。
1 協議隧道攻擊
協議隧道的攻擊思想類似與VPN的實現原理,
攻擊者將一些惡意的攻擊數據包隱藏在一些協議分組的頭部,
從而穿透防火牆系統對內部網路進行攻擊。
例如,許多簡單地允許ICMP回射請求、ICMP回射應答
和UDP分組透過的防火牆就容易受到ICMP和UDP協議隧道的攻擊。
Loki和lokid(攻擊的用戶端和服務端)是實施這種攻擊的
有效的工具。在實際攻擊中,攻擊者首先必須設法在內部網路
的一個系統上裝設上lokid服務端,而後攻擊者就可以透過
loki用戶端將希望遠端執行的攻擊命令(對應IP分組)
嵌入在ICMP或UDP包頭部,再發送給內部網路服務端lokid,
由它執行其中的命令,並以同樣的方式返回結果。
由於許多防火牆允許ICMP和UDP分組自由出入,
因此攻擊者的惡意數據就能附帶在正常的分組,
繞過防火牆的認證,順利地到達攻擊目標主機下面的命令
是用於啟動lokid伺服器程式:
lokid-p–I–vl
loki用戶程式則如下啟動:
loki–d172.29.11.191(攻擊目標主機)-p–I–v1–t3
這樣,lokid和loki就聯合提供了一個穿透防火牆系統
訪問目標系統的一個後門。
2 利用FTP-pasv繞過防火牆認證的攻擊
FTP-pasv攻擊是針對防火牆實施入侵的重要手段之一。
目前很多防火牆不能過濾這種攻擊手段。如CheckPoint的
Firewall-1,在監視FTP伺服器發送給用戶端的包的過程中,
它在每個包中尋找"227"這個字元串。如果發現這種包,
將從中提取目標地址和連接埠,並對目標地址加以驗證,
透過後,將允許建立到該地址的TCP連接。
攻擊者透過這個特性,可以設法連接受防火牆保護的
伺服器和服務。詳細的描述可見:
3 反彈木馬攻擊
反彈木馬是對付這種防火牆的最有效的方法。攻擊者在
內部網路的反彈木馬定時地連接外部攻擊者控制的主機,
由於連接是從內部發起的,防火牆(任何的防火牆)
都認為是一個合法的連接,因此基本上防火牆的盲區就是這裡了。
防火牆不能區分木馬的連接和合法的連接。
但是這種攻擊的侷限是:必須首先裝設這個木馬!!!
所有的木馬的第一步都是關鍵!!!
四 攻擊代理
代理是運行在應用層的防火牆,他實質是啟動兩個連接,
一個是用戶到代理,另一個是代理到目的伺服器。
實現上比較簡單,和前面的一樣也是根據規則過濾。
由於運行在應用層速度比較慢/1
攻擊代理的方法很多。
這裡就以wingate為例,簡單說說了。(太累了)
WinGate是目前應用非常廣泛的一種Windows95/NT代理
防火牆軟體,內部用戶可以透過一台裝設有WinGate的主機
訪問外部網路,但是它也存在著幾個安全脆弱點。
駭客經常利用這些安全漏洞穫得WinGate的非授權Web、
Socks和Telnet的訪問,從而偽裝成WinGate主機的身份對
下一個攻擊目標發動攻擊。因此,這種攻擊非常
難於被跟蹤和記錄。
導致WinGate安全漏洞的原因大多數是管理員沒有根據網路
的實際情況對WinGate代理防火牆軟體進行合理的設定,
只是簡單地從缺省設定裝設完畢後就讓軟體運行,
這就給攻擊者可乘之機。
1 非授權Web訪問
某些WinGate版本(如運行在NT系統下的2.1d版本)
在誤配置情況下,允許外部主機完全匿名地訪問互聯網。
因此,外部攻擊者就可以利用WinGate主機來對Web伺服器
發動各種Web攻擊( 如CGI的漏洞攻擊等),
同時由於Web攻擊的所有報文都是從80號Tcp連接埠穿過的,
因此,很難追蹤到攻擊者的來源。
偵測
偵測WinGate主機是否有這種安全漏洞的方法如下:
1) 以一個不會被過濾掉的連接(譬如說撥號連接)
連接到互聯網上。
2) 把瀏覽器的代理伺服器地址指向待測試的WinGate主機。
如果瀏覽器能訪問到互聯網,則WinGate主機存在
著非授權Web訪問漏洞。
2 非授權Socks訪問
在WinGate的缺省配置中,Socks代理(1080號Tcp連接埠)
同樣是存在安全漏洞。與打開的Web代理(80號Tcp連接埠)
一樣,外部攻擊者可以利用Socks代理訪問互聯網。 |
|