关于防火墙几种攻击方法的研究
信息安全试题及答案
信息安全试题(1/共3)一、单项选择题(每小题2分,共20分)1.信息安全的基本属性是___。
A. 保密性B.完整性C. 可用性、可控性、可靠性D. A,B,C都是2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么它属于___。
A. 对称加密技术B. 分组密码技术C. 公钥加密技术D. 单向函数密码技术3.密码学的目的是___。
A. 研究数据加密B. 研究数据解密C. 研究数据保密D. 研究信息安全4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。
B方收到密文的解密方案是___。
A. K B公开(K A秘密(M’))B. K A公开(K A公开(M’))C. K A公开(K B秘密(M’))D. K B秘密(K A秘密(M’))5.数字签名要预先使用单向Hash函数进行处理的原因是___。
A. 多一道加密工序使密文更难破译B. 提高密文的计算速度C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度D. 保证密文能正确还原成明文6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。
A. 身份鉴别是授权控制的基础B. 身份鉴别一般不用提供双向的认证C. 目前一般采用基于对称密钥加密或公开密钥加密的方法D. 数字签名机制是实现身份鉴别的重要机制7.防火墙用于将Internet和内部网络隔离___。
A. 是防止Internet火灾的硬件设施B. 是网络安全和信息安全的软件和硬件设施C. 是保护线路不受破坏的软件和硬件设施D. 是起抗电磁干扰作用的硬件设施8.PKI支持的服务不包括___。
A. 非对称密钥技术及证书管理B. 目录服务C. 对称密钥的产生和分发D. 访问控制服务9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。
linux中关闭防火墙的几种方法
linux中关闭防火墙的几种方法
在Linux中关闭防火墙有以下几种方法:
1.使用命令行工具关闭防火墙。
常见的命令行工具有iptables 和firewalld。
为了关闭iptables,可以输入以下命令:sudo systemctl stop iptables。
对于firewalld,可以使用以下命令:sudo systemctl stop firewalld。
2.修改防火墙配置文件。
可以使用文本编辑器打开防火墙配置文件,并将相应的防火墙规则注释掉或删除。
在大多数Linux 发行版中,iptables的默认配置文件为/etc/sysconfig/iptables,而firewalld的配置文件为/etc/firewalld/firewalld.conf。
3.禁用防火墙服务。
可以使用以下命令禁用防火墙服务:sudo systemctl disable iptables(对于iptables)或sudo systemctl disable firewalld(对于firewalld)。
这将防止防火墙在系统启动时自动启动。
需要注意的是,关闭防火墙会使系统变得更加容易受到网络攻击。
因此,除非有特殊原因,一般不建议关闭防火墙。
如果需要临时关闭防火墙,可以使用上述方法之一,但在安全问题得到解决后应尽快重新启用防火墙。
如何有效的防止ARP攻击
如何有效的防止ARP攻击但问题是,现在真正摆脱ARP问题困扰了吗?从用户那里熟悉到,尽管尝试过各类方法,但这个问题并没有根本解决。
原因就在于,目前很多种ARP防范措施,一是解决措施的防范能力有限,并不是最根本的办法。
二是对网络管理约束很大,不方便不有用,不具备可操作性。
三是某些措施对网络传输的效能有缺失,网速变慢,带宽浪费,也不可取。
本文通过具体分析一下普遍流行的四种防范ARP措施,去熟悉为什么ARP问题始终不能根治。
上篇:四种常见防范ARP措施的分析一、双绑措施双绑是在路由器与终端上都进行IP-MAC绑定的措施,它能够对ARP欺骗的两边,伪造网关与截获数据,都具有约束的作用。
这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。
它应付最普通的ARP欺骗是有效的。
但双绑的缺陷在于3点:1、在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP –d命令,就能够使静态绑定完全失效。
2、在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的保护工作。
换个网卡或者更换IP,都需要重新配置路由。
关于流淌性电脑,这个需要随时进行的绑定工作,是网络保护的巨大负担,网管员几乎无法完成。
3、双绑只是让网络的两端电脑与路由不接收有关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。
因此,尽管双绑曾经是ARP防范的基础措施,但由于防范能力有限,管理太烦恼,现在它的效果越来越有限了。
二、ARP个人防火墙在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。
ARP防火墙使用范围很广,有很多人以为有了防火墙,ARP攻击就不构成威胁了,事实上完全不是那么回事。
ARP个人防火墙也有很大缺陷:1、它不能保证绑定的网关一定是正确的。
假如一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。
网络安全基础知识试题
网络安全基础知识试题一、选择题1. 哪项不属于网络安全的三个基本要素?A. 机密性B. 完整性C. 可用性D. 可追溯性2. 下列哪种类型的攻击主要是通过发送大量的无效数据包来消耗目标系统的网络带宽和系统资源?A. 木马攻击B. DDoS攻击C. 钓鱼攻击D. 缓冲区溢出攻击3. 隐私保护是网络安全的重要方面,以下哪个措施能有效保护用户的隐私?A. 安装杀毒软件B. 使用强密码C. 定期备份数据D. 加密数据传输4. 以下哪种密码算法是对称密码算法?A. RSAB. AESC. SHA-256D. MD55. 钓鱼攻击是指攻击者通过伪装为可信实体来诱骗用户做出某些操作,以下哪种是常见的钓鱼攻击方式?A. 发送恶意软件B. 网络流量分析C. 垃圾邮件D. 网络钓鱼网站二、填空题1. 用于破解密码的一种方法是_________。
2. 防火墙主要用于____________。
3. 输入一个错误的URL地址可能导致用户遭受___________攻击。
4. ARP欺骗攻击是指攻击者通过发送__________ARP响应报文,欺骗目标主机的ARP缓存表。
5. SSL/TLS是一种常用的加密协议,它位于___________层。
三、简答题1. 请简要解释什么是恶意软件,并列举三种常见的恶意软件类型。
2. 请简要介绍防火墙的功能和原理。
3. 请列举并简要解释五种常见的网络攻击方式。
4. 请简要介绍什么是DDoS攻击,并列举两种常见的DDoS攻击方法。
5. 请简要介绍什么是公钥加密和私钥解密,并解释它们在安全通信中的应用。
四、论述题网络安全在当今社会中愈发重要,对于个人和组织而言具有重要意义。
请结合实际案例或数据,论述网络安全的重要性,并提出提高网络安全的建议和措施。
(正文结束)。
《防火墙》PPT课件
▪ 4〕防火墙应包含集中化的SMTP访问能力,以简化本 地与远程系统的SMTP连接,实现本地E-mail集中处 理,还应具备集中处理和过滤拔号访问的能力.
▪ 5〕安全操作系统是防火墙设备的一个组成部分,当 使用其他安全工具时,要保证防火墙主机的完整性,而 且安全操作系统应能整体安装.防火墙及操作系统应 该可更新,并能用简易的方法解决系统故障等.
▪ 〔1〕了解防火墙的基本性能
▪ 防火墙设备其基本性能一般应包括如下内容:
▪ 1〕防火墙能严格执行所配置的安全策略,并能 灵活改变所需的安全策略.
▪ 2〕防火墙除具备基本的鉴别功能外,还应支持多种 先进技术,如包过滤技术、加密技术、身份识别与验 证、信息的保密性保护、信息的完整性校验、系统 的访问控制机制和授权管理等技术.
动态包过滤则是利用状态表在所有通信层上对当前 数据包进行过滤处理,判断该数据包是否符合安全要 求.
▪ 包过滤的主要优点: 不用改动应用程序; 一个过滤路由器能 协助保护整个网络; 数据包过滤对用户 透明;过滤路由器 速度快、效率高.
▪ 包过滤的主要缺点: 不能彻底防止地址 欺骗;某些应用协 议不适合于数据包 过滤;正常的数据 包过滤路由器无法 执行某些安全策略; 数据包工具存在很 多局限性.
▪ 1〕网络内部和外部之间的所有数据流必须经过防火 墙;
▪ 2〕只有符合安全策略的数据流才能通过防火墙; ▪ 3〕防火墙自身具有高可靠性,应对渗透免疫.
▪ 防火墙是提供信息安全服
务、实现网络和信息安全
的基础设施之一,一般安装 在被保护区域的边界处,如
防火墙的类型及主要优缺点
防火墙的类型概念以及主要优缺点2008年10月27日星期一下午03:22什么是防火墙对于企业的网络而言,未加特别安全保护而放臵在internet上,危险性是显而易见的。
随着决策层对安全认识的逐步加强,防火墙,作为一种应用非常广泛,技术相对比较成熟的网络安全产品也在不同的企业愈来愈多的得到了重视。
然而一个现实的问题是目前关于防火墙的名词以及厂家基于商业目的宣称花样为数众多,这就给使用者选择和应用防火墙带来了一定的误解和困难。
那么什么是防火墙,主要的防火墙之间如何区别呢?对于防火墙的概念,我们可以这样理解:防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。
防火墙的最主要功能就是屏蔽和允许指定的数据通讯,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性。
那么如何理解种类众多的防火墙呢,下面来做个介绍。
防火墙的类型如果我们从OSI分层模式来考察及分类防火墙,会比较容易的把握住防火墙的脉络,个人认为,目前主要的防火墙可以分为三类,它们分别是:包过滤防火墙、基于状态的包过滤防火墙、应用代理(网关)防火墙,而由这三类防火墙可以推导和演绎出其它可能的变化。
下面我们来逐一说明。
包过滤防火墙首先,我们要提到的是最基本的报文过滤的防火墙,这个层次的防火墙通常工作在OSI的三层及三层以下,由此我们可以看出,可控的内容主要包括报文的源地址、报文的目标地址、服务类型,以及第二层数据链路层可控的MAC地址等。
除此以外,随着包过滤防火墙的发展,部分OSI四层的内容也被包括进来,如报文的源端口和目的端口。
本层次最常见的实际应用的例子就是互联网上的路由设备,比如常见的cisco路由器,使用者可以通过定制访问控制列(ACL)来对路由器进出端口的数据包进行控制,如针对rfc1918的保留地址进屏蔽,在路由器上可以进行如下配臵:interface xip access-group 101 inaccess-list 101 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 permit ip any any从上面这个例子可以很明显的看出,路由器这里的配臵完全是针对OSI的三层ip地址,也就是ip的包头进行过滤,至于这些IP数据包里携带的具体有什么内容,路由器完全不会去关心。
基于Windows系统漏洞的攻击技术的研究与防范
所谓魔高一尺,道高一丈。要坚信只要做到知己知彼,就一定能够克服困难,在与攻击者的这场攻防大战中取得胜利。
第一章Windows操作系统及其漏洞概述
1.1Windows操作系统简述
Windows操作系统是美国微软公司推出的视窗电脑操作系统。随着计算机硬件和软件系统的不断升级,微软的Windows操作系统也在不断升级,从16位、32位到64位操作系统。从最初的Windows1.0到大家熟知的Windows95、WindowsNT、Windows97、Windows98、Windows2000、WindowsMe、WindowsXP、WindowsServer系列、WindowsVista,Windows 7,Windows 8各种版本的持续更新。微软一直在尽力于Windows操作的开发和完善。如今,Windows操作系统是全球用户最多的计算机操作系统。
Windows操作系统的漏洞是一个计算机安全隐患。不及时填补漏洞的后果将是给计算机用户带来极大的危害。木马与病毒针对Windows操作系统的漏洞攻击的危害不言而知,它们会泄露用户的秘密信息,攻击者通过贩卖企业信息、恶意破坏等等手段为用户带来无限的利益损害。
通过研究和分析已知基于存在的安全漏洞的攻击入侵行为,了解其攻击的技巧、思路和攻击方法,进而针对一些典型的攻击提出了相应的解决方法,建立一套相对比较完善的防御体系,是主动防范基于Windows操作系统漏洞攻击的有效方法之一。尽管入侵行为的危害大,只要了解攻击原理,就能及时填补入侵的入口,即存在的安全漏洞,就能快速防御来自攻击者的攻击。
禁用本机端口的方法
禁用本机端口的方法禁用本机端口是一种常见的网络安全措施,可以防止未经授权的访问和攻击。
以下是几种可以用来禁用本机端口的方法:1. 使用防火墙防火墙是一种可以禁用本机端口的强大工具。
通过在防火墙中设置规则,可以阻止所有未经授权的访问尝试并关闭所需的端口。
Windows操作系统自带了一个基本的防火墙,您还可以使用其他第三方防火墙软件进行更高级的配置。
2. 修改注册表在Windows操作系统中,通过修改注册表可以禁用本机端口。
打开注册表编辑器,找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParam etersInterfaces键下的子键,然后找到要禁用的本机端口所对应的子键。
在该子键中创建一个新的DWORD值,命名为'TcpAllowedPorts',将其值设置为0,即可禁用该端口。
3. 使用Netsh命令Netsh命令是一个用于管理网络的强大工具,可以帮助您禁用本机端口。
打开命令提示符,输入以下命令:netsh advfirewall firewall add rule name='Block Port'dir=in protocol=TCP localport=端口号 action=block 其中,“端口号”是您要禁用的本机端口号。
执行此命令后,该端口将被阻止。
4. 禁用相关服务如果您知道哪个服务使用了要禁用的端口,可以停止该服务以禁用该端口。
打开Windows服务管理器,找到该服务并停止它即可禁用该端口。
总之,禁用本机端口是一种重要的网络安全措施。
通过使用上述方法中的任何一个,您可以轻松地禁用本机端口,从而保护您的计算机免受未经授权的访问和攻击。
基于Windows的个人防火墙的设计与实现的开题报告
基于Windows的个人防火墙的设计与实现的开题报告1. 题目背景随着互联网的快速发展,网络攻击也越来越多,人们的网络安全意识越来越高,网络安全问题得到了广泛的关注。
在电脑上,防火墙是一种很重要的安全工具。
它可以监控电脑和网络之间的传输,防止有害信息进入系统,白名单和黑名单的应用控制等。
在Windows操作系统中,防火墙是一个重要的安全组件。
因此,本文将以Windows操作系统为基础,设计并开发一个个人防火墙工具。
2. 研究目的2.1 理论目的(1)了解个人防火墙的基本原理。
(2)掌握Windows操作系统中的网络安全机制。
(3)研究并掌握Windows操作系统中的防火墙技术和实现。
(4)掌握网络安全安装、配置、管理和维护技术。
2.2 实践目的(1)设计并实现一个基于Windows操作系统的个人防火墙工具。
(2)实现基本的入侵检测和防御功能。
(3)对开发的个人防火墙工具进行可靠性测试和性能测试。
3. 研究内容和研究方法3.1 研究内容(1)个人防火墙的基本原理和功能。
(2)Windows操作系统中的网络安全机制。
(3)Windows操作系统中的防火墙技术和实现。
(4)开发一个基于Windows操作系统的个人防火墙工具,并实现基本的入侵检测和防御功能。
(5)测试开发的个人防火墙工具的可靠性和性能。
3.2 研究方法(1)实现研究内容所需要的相关技术。
(2)进行文献资料的查阅与综合分析,了解国内外有关个人防火墙的发展、应用和研究现状。
(3)在Windows操作系统上开发一个个人防火墙工具,并实现基本的入侵检测和防御功能。
(4)测试开发的个人防火墙工具的可靠性和性能,对测试结果进行统计分析。
4. 预期成果(1)完成个人防火墙的相关研究工作,掌握个人防火墙的基本原理和功能,以及Windows操作系统中的网络安全机制和防火墙技术和实现。
(2)设计并实现一个基于Windows操作系统的个人防火墙工具,并实现基本的入侵检测和防御功能。
pingflood攻击原理
pingflood攻击原理概述pingflood攻击是一种常见的网络攻击方式,它利用ICMP协议中的ping命令来发送大量的请求给目标主机,从而导致目标主机的网络堵塞,无法正常工作。
本文将介绍pingflood攻击的原理及其影响,以及防御该攻击的方法。
一、pingflood攻击原理pingflood攻击是一种DoS(拒绝服务)攻击方法,攻击者通过向目标主机发送大量的ping请求来占用其带宽和系统资源,使其无法响应正常的网络请求。
ping命令是一种常用的网络诊断工具,用于测试网络连接和测量网络延迟。
它通过发送ICMP Echo Request 消息到目标主机,并等待目标主机返回ICMP Echo Reply消息来判断网络连通性。
而pingflood攻击利用了这一机制,但攻击者发送的ping请求数量极大,超过目标主机的处理能力,从而导致网络堵塞。
具体来说,pingflood攻击的原理如下:1. 攻击者通过特定的软件工具,向目标主机发送大量的ping请求。
2. 目标主机收到大量的ping请求后,会花费大量的系统资源进行处理。
3. 由于ping请求数量过大,目标主机的带宽和处理能力被耗尽,无法正常处理其他网络请求。
4. 目标主机的网络连接变得非常缓慢甚至完全中断,无法正常工作。
二、pingflood攻击的影响pingflood攻击对目标主机造成的影响主要包括以下几个方面:1. 带宽消耗:大量的ping请求会占用目标主机的带宽,导致网络连接变慢甚至中断。
2. 系统资源耗尽:目标主机需要处理大量的ping请求,消耗大量的CPU和内存资源,导致系统负载过高。
3. 网络服务中断:由于目标主机的带宽和系统资源被耗尽,无法正常处理其他网络请求,导致网络服务中断。
4. 数据丢失:pingflood攻击会导致目标主机无法正常接收和处理网络数据包,造成数据丢失。
三、防御pingflood攻击的方法为了防御pingflood攻击,保护网络的安全和稳定,可以采取以下几种方法:1. 防火墙设置:合理配置防火墙规则,限制对目标主机的ping请求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[论文关键词]防火墙网络攻击包过滤 NAT 代理协议隧道 FTP-pasv [论文摘要]通过对几种不同防火墙的攻击方法和原理进行研究,针对黑客攻击的方法和原理,我们能够部署网络安全防御策略,为构建安全稳定的网络安全体系提供了理论原理和试验成果。
防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许。 从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此,事情没有我们想象的完美,攻击我们的是人,不是机器,聪明的黑客们总会想到一些办法来突破防火墙。
一、包过滤型防火墙的攻击 包过滤技术是一种完全基于网络层的安全技术,只能根据Packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。 包过滤防火墙是在网络层截获网络Packet,根据防火墙的规则表,来检测攻击行为。根据Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤。所以它很容易受到如下攻击。
(一)ip欺骗 如果修改Packet的源,目的地址和端口,模仿一些合法的Packet就可以骗过防火墙的检测。如:我将Packet中的源地址改为内部网络地址,防火墙看到是合法地址就会放行。 这种攻击应该怎么防范呢? 如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了。 eth1连接外部网络,eth2连接内部网络,所有源地址为内网地址的Packet一定是先到达eth2,我们配置eth1只接受来自eth2的源地址为内网地址的Packet,那么这种直接到达eth1的伪造包就会被丢弃。
(二)分片伪造 分片是在网络上传输IP报文时采用的一种技术手段,但是其中存在一些安全隐患。Ping of Death, teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。 在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。 工作原理弄清楚了,我们来分析:从上面可以看出,我们如果想穿过防火墙只需要第一个分片,也就是端口号的信息符合就可以了。 那我们先发送第一个合法的IP分片,将真正的端口号封装在第二个分片中,那样后续分片包就可以直接穿透防火墙,直接到达内部网络主机,通过我的实验,观察攻击过程中交换的数据报片断,发现攻击数据包都是只含一个字节数据的报文,而且发送的次序已经乱得不可辨别,但对于服务器TCP/IP堆栈来说,它还是能够正确重组的。
二、NAT防火墙的攻击 这里其实谈不上什么攻击,只能说是穿过这种防火墙的技术,而且需要新的协议支持,因为这种方法的是为了让两个不同NAT后面的p2p软件用户可以不通过端口映射直接进行连接,我们称为UDP打洞技术。 UDP打洞技术允许在有限的范围内建立连接。STUN(The Simple Traversal of User Datagram Protocol through Network Address Translators)协议实现了一种打洞技术可以在有限的情况下允许对NAT行为进行自动检测然后建立UDP连接。在UDP打洞技术中,NAT分配的外部端口被发送给协助直接连接的第三方。在NAT后面的双方都向对方的外部端口发送一个UDP包,这样就在NAT上面创建了端口映射,双方就此可以建立连接。一旦连接建立,就可以进行直接的UDP通信了。 但是UDP连接不能够持久连接。UDP是无连接的并且没有对谁明确的通信。一般地,NAT见了的端口映射,如果一段时间不活动后就是过期。为了保持UDP端口映射,必须每隔一段时间就发送UDP包,就算没有数据的时候,只有这样才能保持UDP通信正常。另外很多防火墙都拒绝任何的外来UDP连接。 由于各方面原因,这次没有对建立TCP的连接做研究,估计是能连接的。
三、代理防火墙的攻击 代理防火墙运行在应用层,攻击的方法很多。这里就以WinGate为例。WinGate是以前应用非常广泛的一种Windows95/NT代理防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。 黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。 导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就让攻击者可从以下几个方面攻击:
(一)非授权Web访问 某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击(如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。 检测WinGate主机是否有这种安全漏洞的方法如下: (1)以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。 (2)把浏览器的代理服务器地址指向待测试的WinGate主机。 如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。
(二)非授权Socks访问 关于防火墙几种攻击方法的研究 (三)非授权Telnet访问 它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。 检测WinGate主机是否有这种安全漏洞的方法如下: 1)使用telnet尝试连接到一台WinGate服务器。 [root@happy/tmp]#telnet172.29.11.191 Trying172.29.11.191„. Connectedto172.29.11.191. Escapecharacteris'^]'. Wingate>10.50.21.5 2)如果接受到如上的响应文本,那就输入待连接到的网站。 3)如果看到了该新系统的登录提示符,那么该服务器是脆弱的。 Connectedtohost10.50.21.5„Connected SunOS5.6 Login: 其实只要我们在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。
四、监测型防火墙的攻击 一般来说,完全实现了状态检测技术防火墙,智能性都比较高,普通的扫描攻击还能自动的反应。但是这样智能的防火墙也会受到攻击!
(一)协议隧道攻击 协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击Packet隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。 比如说,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。 由于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机。
(二)利用FTP-pasv绕过防火墙认证的攻击 FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找“227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。 攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。 五、通用的攻击方法 (一)木马攻击 反弹木马是对付防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。 说一个典型的反弹木马,目前变种最多有“毒王”之称的“灰鸽子”,该木马由客户端主动连接服务器,服务器直接操控。非常方便。
(二)d.o.s拒绝服务攻击 简单的防火墙不能跟踪tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,它可能会忙于处理,而忘记了自己的过滤功能。简单的说明两个例子。 Land(Land Attack)攻击:在Land攻击中,黑客利用一个特别打造的SYN包,它的源地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢。 IP欺骗DOS攻击:这种攻击利用TCP协议栈的RST位来实现,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(a.a.a.a)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为a.a.a.a,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从a.a.a.a发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户a.a.a.a再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。
六、结论 我们必须承认以现在的防火墙技术,无法给我们一个相当安全的网络。网络中是没有百分之百安全的,由于我们面对的黑客都属于聪明的高技术性计算机专家,攻击时的变数太大,所以网络安全不可能单靠防火墙来实现,只可能通过不断完善策略、协议等根本因素才行。 在防火墙目前还不算长的生命周期中,虽然问题不断,但是,它也在科学家的苦心经营下不断自我完善,从单纯地拦截一次来自黑客的恶意进攻,逐步走向安全事件管理及安全信息管理的大路,并将最终汇入网络安全管理系统的大海,这应该是一种历史的必然。一旦防火墙把网络安全管理当作自我完善的终极目的,就等同于将发展的方向定位在了网络安全技术的制高点,如果成功,防火墙将成为未来网络安全技术中不可缺少的一部分。