防火墻的攻擊方法研究

[摘要]：因特網的發展給人們的生活帶來了方便，同時因特網也面臨著威脅。因此如何使用有效的方法降低網絡威脅越來越受到人們的關注。本文闡述了防火墻的攻擊方法，指出防火墻的發展方向。構建一個個人防火墻，就可以實現對內部網絡的保護。

[關鍵字]：防火墻 特洛伊木馬 網絡安全 NAT協議隧道

引言：

通過對不同防火墻的攻擊方法和原理進行研究，為構建安全穩定的網絡安全體系提供了理論原理和試驗成果。

一、包過濾型防火墻的攻擊

最早使用的一種防火墻技術。包過濾技術工作的地方就是各種基于TCP/IP協議的數據報文進出的通道，它把這兩層作為數據監控的對象，對每個數據包的頭部、協議、地址、端口、類型等信息進行分析，并與預先設定好的防火墻過濾規則進行核對，一旦發現某個包的某個或多個部分與過濾規則匹配且條件為“阻止”時，這個包就會被丟棄。后來人們對包過濾技術進行了改進，稱為“動態包過濾”。動態包過濾功能在保持著原有靜態包過濾技術和過濾規則的基礎上，會對已經成功與計算機連接的報文傳輸進行跟蹤，并且判斷該連接發送的數據包是否會對系統構成威脅。一旦觸發其判斷機制，防火墻就會自動產生新的臨時過濾規則或者把已經存在的過濾規則進行修改，從而阻止該有害數據的繼續傳輸。

二、NAT防火墻的攻擊

這種方法是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進行連接，我們稱為UDP打洞技術。

此技術允許在有限的范圍內建立連接。協議實現了一種打洞技術可以在有限的情況下允許對NAT行為進行自動檢測然后建立UDP連接。在UDP打洞技術中，NAT分配的外部端口被發送給協助直接連接的第三方。在NAT后面的雙方都向對方的外部端口發送一個UDP包，這樣就在NAT上面創建了端口映射，雙方就此可以建立連接。一旦連接建立，就可以進行直接的UDP通信了。但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對誰明確的通信。一般地，NAT見了的端口映射，如果一段時間不活動后就是過期。為了保持UDP端口映射，必須每隔一段時間就發送UDP包，就算沒有數據的時候，只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。

三、代理防火墻的攻擊

代理防火墻運行在應用層，攻擊的方法很多。黑客經常利用這些安全漏洞獲得WinGate的非授權Web和Socks的訪問，從而偽裝成WinGate主機的身份對下一個攻擊目標發動攻擊。

（一）非授權Web訪問

某些WinGate版本在誤配置情況下，允許外部主機完全匿名地訪問因特網。因此，外部攻擊者就可以利用WinGate主機來對Web服務器發動各種Web攻擊，同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。

檢測WinGate主機是否有這種安全漏洞的方法如下：

（1）以一個不會被過濾掉的方式連接到因特網上。

（2）把瀏覽器的代理服務器地址指向待測試的WinGate主機。

（二）非授權Socks訪問

在WinGate的缺省配置中，Socks代理同樣存在安全漏洞。與打開的Web代理一樣，外部攻擊者可以利用Socks代理訪問因特網。

四、監測型防火墻的攻擊

（一）協議隧道攻擊

協議隧道的攻擊思想類似于VPN的實現原理，攻擊者將一些惡意的攻擊Packet隱藏在一些協議分組的頭部，從而穿透防火墻系統對內部網絡進行攻擊。

如許多簡單地允許ICMP回射請求、ICMP回射應答和UDP分組通過的防火墻就容易受到ICMP和UDP協議隧道的攻擊。在實際攻擊中，攻擊者首先必須設法在內部網絡的一個系統上安裝上lokid服務端，而后攻擊者就可以通過lokid客戶端將希望遠程執行的攻擊命令（對應IP分組）嵌入在ICMP或UDP包頭部，再發送給內部網絡服務端lokid，由它執行其中的命令，并以同樣的方式返回結果。

（二）利用FTP-pasv繞過防火墻認證的攻擊

FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一。如CheckPoint的Firewall-1，在監視FTP服務器發送給客戶端的包的過程中，它在每個包中尋找“227”這個字符串。如果發現這種包，將從中提取目標地址和端口，并對目標地址加以驗證，通過后，將允許建立到該地址的TCP連接。

五、通用的攻擊方法

（一）木馬攻擊

反彈木馬是對付防火墻的最有效的方法。攻擊者在內部網絡的反彈木馬定時地連接外部攻擊者控制的主機，由于連接是從內部發起的，防火墻都認為是一個合法的連接，因此基本上防火墻的盲區就是這里了。

(二)dos拒絕服務攻擊

簡單的防火墻不能跟蹤tcp的狀態，很容易受到拒絕服務攻擊，一旦防火墻受到dos攻擊，它可能會忙于處理，而忘記了自己的過濾功能。如IP欺騙DOS攻擊：這種攻擊利用TCP協議的RST位來實現，使用IP欺騙，迫使a.a.a.a服務器把合法用戶的連接復位，影響合法用戶的連接。假設現在有一個合法用戶已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為a.a.a.a，并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后，認為從a.a.a.a發送的連接有錯誤，就會清空緩沖區中已建立好的連接。這時，合法用戶a.a.a.a再發送合法數據，服務器就已經沒有這樣的連接了，該用戶就被拒絕服務而只能重新開始建立新的連接。

六、總結

黑客攻擊防火墻的過程上看，大概可以分三類。一是探測在目標網絡上安裝的是何種防火墻系統并且找出此防火墻系統允許哪些服務。我們叫它為對防火墻的探測攻擊。二是采取地址欺騙、TCP序號攻擊等手法繞過防火墻的認證機制，從而破壞防火墻和內部網絡。三是尋找、利用防火墻系統實現和設計上的安全漏洞，從而有針對性地發動攻擊。

高安全性的防火墻可以讓用戶無憂，目前各大廠商正在朝這個方向努力，我相信防火墻技術將會越來越強。

參考文獻：

[1]閻慧。防火墻原理與技術[M]。北京：機械工業出版社，2004

[2]黎連業，張維。防火墻及其應用技術[M]。北京：清華大學，2004