ハッカーはファイアウォールの常用するいくつかの技術を突破します。
まず、基本的なファイアウォールの実現原理を知る必要があります。ファイアウォールは現在主に分けて濾過して、状態の検査する包みと濾過して、階の代行のファイアウォールを応用します。しかし、彼らの基本的な実現は似ています。 空を飛ぶ ルーターのページを読む-----ネットカードはファイアウォールのページをめくる------内部のネットページをめくる 空を飛ぶ ファイアウォールには通常2つ以上のネットワークカードがあり、一つは外部に接続され、もう一つは内部ネットワークに接続されています。ホストネットワーク転送機能をオンにすると、2つのネットワークカード間のネットワーク通信が直接に通過することができます。ファイアウォールがある時、彼はネットカードの間に挿し込んで、すべてのネット通信を制御します。 アクセス制御といえば、ファイアウォールの中心となります。 1 accept from+ ポート ト+ ポート+ 取った動作 2 デニー ...........(デニーは拒否です。) 3 nano ............(aはアドレス変換です。後から言います ファイアウォールは、ネットワーク層(以下の錬路層を含む)でネットワークパケットを受け入れた後、上の規則から表を一つずつマッチングし、該当する場合は予め手配した動作を実行します。カバンを捨てるように。。。 しかし、ファイアウォールによって攻撃行為を判断する場合には、達成される差があります。以下は原理を合わせて可能な攻撃を言います。 二、攻撃カバン濾過ファイアウォール ファイアウォールを濾過することは最も簡単なことです。ネットワーク層でネットワークパケットを切り取り、ファイアウォールの規則表に基づいて攻撃行為を検出します。彼はパケットのソースIPアドレスに基づいています。目的IPアドレス;TCP/UDPソースポート;TCP/UDP目的ポートをフィルタリングします!次のような攻撃を受けやすいです。 1 ip フェイルアタック: このような攻撃は主にデータパッケージのソース、目的地のアドレスとポートを修正し、いくつかの合法的なデータパッケージを模倣してファイアウォールの検出を欺いた。外部攻撃者は、データのソースアドレスを内部ネットワークアドレスに変更し、ファイアウォールが合法的なアドレスであることを見たら放します。しかし、ファイアウォールがインターフェースとアドレスを合わせられたら、この攻撃は成功できなくなります。 2 d.o.sサービス攻撃を拒否する 簡単なバッグフィルターでファイアウォールは追跡できません。 tcpの状態は、サービス拒否の攻撃を受けやすいです。一旦防火壁がd.o.s攻撃を受けたら、彼は処理に忙しいかもしれません。彼自身のフィルタ機能を忘れました。このような攻撃はまだ少ないです。 3 スペアアタック このような攻撃の原理は、IPのスライスパケットの中で、すべてのスライスは一つのスライスオフセットフィールドフラグでパケットの順序を分けるが、最初のスライスだけがTCPポート番号の情報を含む。IPスライスパケットがパケットを通してファイアウォールをフィルタリングする場合、ファイアウォールは最初のスライスパケットのTcp情報によってのみ通過が許可されているかどうかを判断し、他の後続のスライスはファイアウォール検査を行わず、直接に通過させる。 このように、攻撃者は最初の合法的なIPスライスを送信することによって、ファイアウォールの検出を欺き、続いて悪意のあるデータを封入した後続のスライスパケットは直接ファイアウォールを貫通し、直接内部ネットワークホストに到達し、ネットワークとホストの安全を脅かすことができる。 4 木馬攻撃 包装に対して濾過してファイアウォールの最も効き目がある攻撃を防ぐのは木馬で、しかしあなたは内部のネットで木馬をインストールして、ファイアウォールはほぼ無力です。 その理由は、パケットフィルタリングファイアウォールは、一般的には低いポートだけをフィルタリングし(1-1024)、高ポートは彼がフィルタリングすることができません(いくつかのサービスは、高ポートを使用するので、ファイアウォールは、高ポートを閉じることができません)ので、多くのトロイの木馬は、氷河、subsevenなどの高ポートで開かれます。 しかし、木馬攻撃の前提は先にアップロードしなければなりません。木馬を運行します。簡単な袋濾過防火壁にとって、やりやすいです。ここではこれを書きません。多分、内部ネットワークの本体を利用してオープンしたサービス・ホールです。 初期の防火壁はこのような簡単な濾過型のもので、今までは少なくなりました。現在のバッグフィルタリングは状態測定技術を採用しています。状態検査のパッケージフィルタリング防火壁について説明します。三、攻撃状態検査のパケットフィルタリング 状態検出技術は最初にcheckpointが提出したもので、国内の多くのファイアウォールで状態検出技術が実現されたと主張しています。 しかし:多くは実現していないのです。いったい何が状態測定ですか? 一言で言えば、状態検出とは、tcp接続の確立から終了まで追跡検査する技術です。 元のパケットフィルタリングは、個々のパケットを持って規則に適合するものです。しかし、私たちは同じtcp接続で、彼のパケットは前後関連しています。まずsynパッケージ、-」パケット=>finパッケージです。パケットの前後のシリアル番号は関連しています。 これらの関係を切り裂くと、単独でデータパックをろ過し、手厚い攻撃パケットにだまされやすい!!!nmapの攻撃スキャンのように、synパッケージ、finパッケージ、resetパッケージを利用してファイアウォールの後ろのネットワークを探知します。 反対に、完全な状態でファイアウォールを検出し、彼は接続を開始していると判断しました。もし規則に合致したら、メモリにこの接続の状態情報(住所、ポーリング、オプション)を登録しました。後は同じ接続のパケットに属していますので、検査する必要はありません。直接に通る。いくつかの心を込めて作られた攻撃パケットはメモリに登録されていないため、該当の状態情報が破棄されました。これらの攻撃パケットは、ファイアウォールを見逃すことができません。 状態検出はダイナミックルール技術に言及しなければならないと言います。状態検査では、動的規則技術を採用し、元の高ポートの問題を解決することができます。通常、ファイアウォールは内部ネットワークのすべてのポート(1-65535)をフィルタすることができます。外部攻撃者は侵入の切り口を見つけにくいですが、正常なサービスに影響しないように、ファイアウォールはサービスが高ポートを開放しなければならないと検出された場合、ファイアウォールはメモリに格納されています。サービスが終わったら、この規則はまたファイアウォールに削除されます。このように、安全を保障した上に、正常なサービスにも影響しないし、スピードも速いです。 一般的には、状態検出技術のファイアウォールが完全に実現され、知能が高く、スキャン攻撃も自動的に反応するので、攻撃者は注意しなければならない。 しかし、この防火壁に対処する攻撃手段も少なくない。 1 プロトコルトンネル攻撃 プロトコルトンネルの攻撃思想はVPNの実現原理と類似しており、攻撃者はいくつかの悪意の攻撃パケットをいくつかのプロトコルパケットのヘッダに隠して、ファイアウォールシステムを通して内部ネットワークを攻撃する。 例えば、ICMP返射要求、ICMP返射応答、UDPパケット通過を簡単に許可する多くのファイアウォールは、ICMP及びUDPプロトコルトンネルの攻撃を受けやすい。Lokiとlokid(攻撃するクライアントとサービスエンド)はこの攻撃を行うための効果的なツールです。実際の攻撃では、攻撃者はまず、内部ネットワークの一つのシステムにロッキー・サービスをインストールし、その後、攻撃者は、ロッククライアントを介して、リモートで実行したい攻撃コマンド(IPパケットに対応)をICMPまたはUDPヘッダ部に埋め込み、内部ネットワークに送信し、コマンドを実行し、結果を同様に返します。から 多くのファイアウォールでICMPとUDPのパケットが自由に出入りできるので、攻撃者の悪意のあるデータは正常なグループに付随できます。ファイアウォールの認証を避けて、無事に攻撃対象ホストの下に到達するコマンドはロックサーバプログラムを起動するために使います。 lokid-p CI Cvl lokiクライアントプログラムは以下のように起動します。 loki Cd 12.29.9191(攻撃対象ホスト)-p CI Cv 1 Ct 3 このように、ロッキーとロッキーは共同でファイアウォールシステムを通してターゲットシステムにアクセスする裏口を提供します。 2 FTP-pasvを利用してファイアウォール認証の攻撃を回避します。 FTP-pasv攻撃はファイアウォールの侵入を防ぐ重要な手段の一つです。現在多くのファイアウォールはこの攻撃手段を濾過することができません。CheckPointのFirewall-1のように、FTPサーバがクライアントに送信するパケットを監視する過程で、各パケットの中で「227」という文字列を探す。このようなパケットが発見されたら、そこから宛先アドレスとポートを抽出し、宛先アドレスを検証し、通過すると、そのアドレスに確立されたTCP接続が許可される。 攻撃者はこの特性を通して、ファイアウォールによって保護されたサーバーとサービスを接続することができます。3 リバウンド·トロイの木馬攻撃 リバウンド木馬はこのファイアウォールに対する最も効果的な方法です。攻撃者は内部ネットワークのリバウンド木馬でタイミングよく外部攻撃者のコントロールするホストコンピュータに接続します。接続は内部から始まるので、ファイアウォールは合法的な接続と考えられています。そのため、基本的にファイアウォールの盲点はここです。ファイアウォールは木馬の接続と合法的な接続を区別できません。 しかしこのような攻撃の制限は:まずこの木馬をインストールしなければなりません!すべての木馬の第一歩が鍵です。