防火墻技術(shù)是計算機(jī)網(wǎng)絡(luò)信息安全防護(hù)的常用技術(shù)，可以有效的控制網(wǎng)絡(luò)之間的訪問，防治非法用戶進(jìn)入網(wǎng)絡(luò)內(nèi)部，對維護(hù)網(wǎng)絡(luò)安全起到良好的效果。

　　《網(wǎng)絡(luò)新媒體技術(shù)》網(wǎng)絡(luò)技術(shù)期刊，創(chuàng)刊于1980年，是由中國科學(xué)院聲學(xué)研究所主辦，海洋出版社出版的公開發(fā)行的科技刊物。其辦刊宗旨是發(fā)展信息科學(xué)，推廣計算機(jī)在各行各業(yè)的應(yīng)用和發(fā)展，促進(jìn)計算機(jī)科學(xué)領(lǐng)域的技術(shù)交流與合作，為祖國的社會主義現(xiàn)代化建設(shè)服務(wù)。榮獲1990年獲海洋出版社優(yōu)秀期刊獎、中文核心期刊(1992)。

　　通過對幾種不同防火墻的攻擊方法和原理進(jìn)行研究，針對黑客攻擊的方法和原理，我們能夠部署網(wǎng)絡(luò)安全防御策略，為構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)安全體系提供了理論原理和試驗成果。

　　防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，以保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許。

　　從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。盡管如此，事情沒有我們想象的完美，攻擊我們的是人，不是機(jī)器，聰明的黑客們總會想到一些辦法來突破防火墻。

　　一、包過濾型防火墻的攻擊

　　包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)Packet的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意入侵。

　　包過濾防火墻是在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)Packet，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為。根據(jù)Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口來過濾。所以它很容易受到如下攻擊。

　　(一)ip欺騙

　　如果修改Packet的源，目的地址和端口，模仿一些合法的Packet就可以騙過防火墻的檢測。如：我將Packet中的源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就會放行。

　　這種攻擊應(yīng)該怎么防范呢?

　　如果防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了。

　　eth1連接外部網(wǎng)絡(luò),eth2連接內(nèi)部網(wǎng)絡(luò)，所有源地址為內(nèi)網(wǎng)地址的Packet一定是先到達(dá)eth2，我們配置eth1只接受來自eth2的源地址為內(nèi)網(wǎng)地址的Packet，那么這種直接到達(dá)eth1的偽造包就會被丟棄。

　　(二)分片偽造

　　分片是在網(wǎng)絡(luò)上傳輸IP報文時采用的一種技術(shù)手段，但是其中存在一些安全隱患。PingofDeath,teardrop等攻擊可能導(dǎo)致某些系統(tǒng)在重組分片的過程中宕機(jī)或者重新啟動。這里我們只談?wù)勅绾卫@過防火墻的檢測。

　　在IP的分片包中，所有的分片包用一個分片偏移字段標(biāo)志分片包的順序，但是，只有第一個分片包含有TCP端口號的信息。當(dāng)IP分片包通過分組過濾防火墻時，防火墻只根據(jù)第一個分片包的Tcp信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。

　　工作原理弄清楚了，我們來分析：從上面可以看出，我們?nèi)绻�想穿過防火墻只需要第一個分片，也就是端口號的信息符合就可以了。

　　那我們先發(fā)送第一個合法的IP分片，將真正的端口號封裝在第二個分片中，那樣后續(xù)分片包就可以直接穿透防火墻，直接到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)，通過我的實驗，觀察攻擊過程中交換的數(shù)據(jù)報片斷，發(fā)現(xiàn)攻擊數(shù)據(jù)包都是只含一個字節(jié)數(shù)據(jù)的報文，而且發(fā)送的次序已經(jīng)亂得不可辨別，但對于服務(wù)器TCP/IP堆棧來說，它還是能夠正確重組的。

　　二、NAT防火墻的攻擊

　　這里其實談不上什么攻擊，只能說是穿過這種防火墻的技術(shù)，而且需要新的協(xié)議支持，因為這種方法的是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進(jìn)行連接，我們稱為UDP打洞技術(shù)。

　　UDP打洞技術(shù)允許在有限的范圍內(nèi)建立連接。STUN(TheSimpleTraversalofUserDatagramProtocolthroughNetworkAddressTranslators)協(xié)議實現(xiàn)了一種打洞技術(shù)可以在有限的情況下允許對NAT行為進(jìn)行自動檢測然后建立UDP連接。在UDP打洞技術(shù)中，NAT分配的外部端口被發(fā)送給協(xié)助直接連接的第三方。在NAT后面的雙方都向?qū)Ψ降耐獠慷丝诎l(fā)送一個UDP包，這樣就在NAT上面創(chuàng)建了端口映射，雙方就此可以建立連接。一旦連接建立，就可以進(jìn)行直接的UDP通信了。

　　但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對誰明確的通信。一般地，NAT見了的端口映射，如果一段時間不活動后就是過期。為了保持UDP端口映射，必須每隔一段時間就發(fā)送UDP包，就算沒有數(shù)據(jù)的時候，只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。

　　由于各方面原因，這次沒有對建立TCP的連接做研究，估計是能連接的。

　　三、代理防火墻的攻擊

　　代理防火墻運行在應(yīng)用層,攻擊的方法很多。這里就以WinGate為例。WinGate是以前應(yīng)用非常廣泛的一種Windows95/NT代理防火墻軟件，內(nèi)部用戶可以通過一臺安裝有WinGate的主機(jī)訪問外部網(wǎng)絡(luò)，但是它也存在著幾個安全脆弱點。

　　黑客經(jīng)常利用這些安全漏洞獲得WinGate的非授權(quán)Web、Socks和Telnet的訪問，從而偽裝成WinGate主機(jī)的身份對下一個攻擊目標(biāo)發(fā)動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。

　　導(dǎo)致WinGate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實際情況對WinGate代理防火墻軟件進(jìn)行合理的設(shè)置，只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運行，這就讓攻擊者可從以下幾個方面攻擊：

　　(一)非授權(quán)Web訪問

　　某些WinGate版本(如運行在NT系統(tǒng)下的2.1d版本)在誤配置情況下，允許外部主機(jī)完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用WinGate主機(jī)來對Web服務(wù)器發(fā)動各種Web攻擊(如CGI的漏洞攻擊等)，同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。

　　檢測WinGate主機(jī)是否有這種安全漏洞的方法如下：

　　(1)以一個不會被過濾掉的連接(譬如說撥號連接)連接到因特網(wǎng)上。

　　(2)把瀏覽器的代理服務(wù)器地址指向待測試的WinGate主機(jī)。

　　如果瀏覽器能訪問到因特網(wǎng)，則WinGate主機(jī)存在著非授權(quán)Web訪問漏洞。

　　(二)非授權(quán)Socks訪問

　　在WinGate的缺省配置中，Socks代理(1080號Tcp端口)同樣是存在安全漏洞。與打開的Web代理(80號Tcp端口)一樣，外部攻擊者可以利用Socks代理訪問因特網(wǎng)。

　　(三)非授權(quán)Telnet訪問

　　它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的WinGate服務(wù)器的Telnet服務(wù)，攻擊者可以使用別人的主機(jī)隱藏自己的蹤跡，隨意地發(fā)動攻擊。

　　檢測WinGate主機(jī)是否有這種安全漏洞的方法如下：

　　1)使用telnet嘗試連接到一臺WinGate服務(wù)器。

　　[root@happy/tmp]#telnet172.29.11.191

　　Trying172.29.11.191….

　　Connectedto172.29.11.191.

　　Escapecharacteris'^]'.

　　Wingate>10.50.21.5

　　2)如果接受到如上的響應(yīng)文本，那就輸入待連接到的網(wǎng)站。

　　3)如果看到了該新系統(tǒng)的登錄提示符，那么該服務(wù)器是脆弱的。

　　Connectedtohost10.50.21.5…Connected

　　SunOS5.6

　　Login:

　　其實只要我們在WinGate中簡單地限制特定服務(wù)的捆綁就可以解決這個問題。

　　四、監(jiān)測型防火墻的攻擊

　　一般來說，完全實現(xiàn)了狀態(tài)檢測技術(shù)防火墻，智能性都比較高，普通的掃描攻擊還能自動的反應(yīng)。但是這樣智能的防火墻也會受到攻擊!

　　(一)協(xié)議隧道攻擊

　　協(xié)議隧道的攻擊思想類似與VPN的實現(xiàn)原理，攻擊者將一些惡意的攻擊Packet隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。

　　比如說，許多簡單地允許ICMP回射請求、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。Loki和lokid(攻擊的客戶端和服務(wù)端)是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個系統(tǒng)上安裝上lokid服務(wù)端，而后攻擊者就可以通過loki客戶端將希望遠(yuǎn)程執(zhí)行的攻擊命令(對應(yīng)IP分組)嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端lokid，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。

　　由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過防火墻的認(rèn)證，順利地到達(dá)攻擊目標(biāo)主機(jī)。

　　(二)利用FTP-pasv繞過防火墻認(rèn)證的攻擊

　　FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個包中尋找“227”這個字符串。如果發(fā)現(xiàn)這種包，將從中提取目標(biāo)地址和端口，并對目標(biāo)地址加以驗證，通過后，將允許建立到該地址的TCP連接。

　　攻擊者通過這個特性，可以設(shè)法連接受防火墻保護(hù)的服務(wù)器和服務(wù)。

　　五、通用的攻擊方法

　　(一)木馬攻擊

　　反彈木馬是對付防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時地連接外部攻擊者控制的主機(jī)，由于連接是從內(nèi)部發(fā)起的，防火墻(任何的防火墻)都認(rèn)為是一個合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。

　　說一個典型的反彈木馬，目前變種最多有“毒王”之稱的“灰鴿子”，該木馬由客戶端主動連接服務(wù)器，服務(wù)器直接操控。非常方便。

　　(二)d.o.s拒絕服務(wù)攻擊

　　簡單的防火墻不能跟蹤tcp的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦防火墻受到d.o.s攻擊，它可能會忙于處理，而忘記了自己的過濾功能。簡單的說明兩個例子。

　　Land(LandAttack)攻擊：在Land攻擊中，黑客利用一個特別打造的SYN包，它的源地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址進(jìn)行攻擊。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢。

　　IP欺騙DOS攻擊：這種攻擊利用TCP協(xié)議棧的RST位來實現(xiàn)，使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。假設(shè)現(xiàn)在有一個合法用戶(a.a.a.a)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為a.a.a.a，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從a.a.a.a發(fā)送的連接有錯誤，就會清空緩沖區(qū)中已建立好的連接。這時，合法用戶a.a.a.a再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就被拒絕服務(wù)而只能重新開始建立新的連接。

　　六、結(jié)論

　　我們必須承認(rèn)以現(xiàn)在的防火墻技術(shù)，無法給我們一個相當(dāng)安全的網(wǎng)絡(luò)。網(wǎng)絡(luò)中是沒有百分之百安全的，由于我們面對的黑客都屬于聰明的高技術(shù)性計算機(jī)專家，攻擊時的變數(shù)太大，所以網(wǎng)絡(luò)安全不可能單靠防火墻來實現(xiàn)，只可能通過不斷完善策略、協(xié)議等根本因素才行。

　　在防火墻目前還不算長的生命周期中，雖然問題不斷，但是，它也在科學(xué)家的苦心經(jīng)營下不斷自我完善，從單純地攔截一次來自黑客的惡意進(jìn)攻，逐步走向安全事件管理及安全信息管理的大路，并將最終匯入網(wǎng)絡(luò)安全管理系統(tǒng)的大海，這應(yīng)該是一種歷史的必然。一旦防火墻把網(wǎng)絡(luò)安全管理當(dāng)作自我完善的終極目的，就等同于將發(fā)展的方向定位在了網(wǎng)絡(luò)安全技術(shù)的制高點，如果成功，防火墻將成為未來網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

　　參考文獻(xiàn)：

　　[1]W.RichardAs.TCP/IP詳解卷一：協(xié)議[M].機(jī)械工業(yè)出版社，2000.

　　[2]黎連業(yè),張維.防火墻及其應(yīng)用技術(shù)[M].北京：清華大學(xué)，2004.

　　[3]MarcusGoncalves.防火墻技術(shù)指南[M].北京：機(jī)械工業(yè)出版社，2000.

　　[4]閻慧.防火墻原理與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2004.

　　[5]王達(dá).網(wǎng)管員必讀網(wǎng)絡(luò)安全(第2版)[M].北京：電子工業(yè)出版社，2007.