網(wǎng)絡(luò)安全知識(shí).doc

網(wǎng)絡(luò)安全知識(shí) 拒絕服務(wù)攻擊BIOS控制計(jì)算機(jī)安全黑客突破防火墻常用的幾種技術(shù)妙用Windows神秘的類標(biāo)識(shí)符部署防火墻策略的十六條守則拒絕服務(wù)攻擊入侵攻擊 可以說(shuō)當(dāng)前是一個(gè)進(jìn)行攻擊的黃金時(shí)期，很多的系統(tǒng)都很脆弱并且很容易受到攻擊，所以這是一個(gè)成為黑客的大好時(shí)代，可讓他們利用的方法和工具是如此之多！在此我們僅對(duì)經(jīng)常被使用的入侵攻擊手段做一討論。 【拒絕服務(wù)攻擊 】 拒絕服務(wù)攻擊（Denial of Service, DoS）是一種最悠久也是最常見(jiàn)的攻擊形式。嚴(yán)格來(lái)說(shuō)，拒絕服務(wù)攻擊并不是某一種具體的攻擊方式，而是攻擊所表現(xiàn)出來(lái)的結(jié)果，最終使得目標(biāo)系統(tǒng)因遭受某種程度的破壞而不能繼續(xù)提供正常的服務(wù)，甚至導(dǎo)致物理上的癱瘓或崩潰。具體的操作方法可以是多種多樣的，可以是單一的手段，也可以是多種方式的組合利用，其結(jié)果都是一樣的，即合法的用戶無(wú)法訪問(wèn)所需信息。 通常拒絕服務(wù)攻擊可分為兩種類型。 第一種是使一個(gè)系統(tǒng)或網(wǎng)絡(luò)癱瘓。如果攻擊者發(fā)送一些非法的數(shù)據(jù)或數(shù)據(jù)包，就可以使得系統(tǒng)死機(jī)或重新啟動(dòng)。本質(zhì)上是攻擊者進(jìn)行了一次拒絕服務(wù)攻擊，因?yàn)闆](méi)有人能夠使用資源。以攻擊者的角度來(lái)看，攻擊的刺激之處在于可以只發(fā)送少量的數(shù)據(jù)包就使一個(gè)系統(tǒng)無(wú)法訪問(wèn)。在大多數(shù)情況下，系統(tǒng)重新上線需要管理員的干預(yù)，重新啟動(dòng)或關(guān)閉系統(tǒng)。所以這種攻擊是最具破壞力的，因?yàn)樽鲆稽c(diǎn)點(diǎn)就可以破壞，而修復(fù)卻需要人的干預(yù)。 第二種攻擊是向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)。例如，如果一個(gè)系統(tǒng)無(wú)法在一分鐘之內(nèi)處理100個(gè)數(shù)據(jù)包，攻擊者卻每分鐘向他發(fā)送1000個(gè)數(shù)據(jù)包，這時(shí)，當(dāng)合法用戶要連接系統(tǒng)時(shí)，用戶將得不到訪問(wèn)權(quán)，因?yàn)橄到y(tǒng)資源已經(jīng)不足。進(jìn)行這種攻擊時(shí)，攻擊者必須連續(xù)地向系統(tǒng)發(fā)送數(shù)據(jù)包。當(dāng)攻擊者不向系統(tǒng)發(fā)送數(shù)據(jù)包時(shí)，攻擊停止，系統(tǒng)也就恢復(fù)正常了。此攻擊方法攻擊者要耗費(fèi)很多精力，因?yàn)樗仨毑粩嗟匕l(fā)送數(shù)據(jù)。有時(shí)，這種攻擊會(huì)使系統(tǒng)癱瘓，然而大多多數(shù)情況下，恢復(fù)系統(tǒng)只需要少量人為干預(yù)。 這兩種攻擊既可以在本地機(jī)上進(jìn)行也可以通過(guò)網(wǎng)絡(luò)進(jìn)行。 拒絕服務(wù)攻擊類型 1 Ping of Death 根據(jù)TCP/IP的規(guī)范，一個(gè)包的長(zhǎng)度最大為65536字節(jié)。盡管一個(gè)包的長(zhǎng)度不能超過(guò)65536字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收到了長(zhǎng)度大于65536字節(jié)的包時(shí)，就是受到了Ping of Death攻擊，該攻擊會(huì)造成主機(jī)的宕機(jī)。 2 Teardrop IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí)，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過(guò)發(fā)送兩段(或者更多)數(shù)據(jù)包來(lái)實(shí)現(xiàn)TearDrop攻擊。第一個(gè)包的偏移量為0，長(zhǎng)度為N，第二個(gè)包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會(huì)分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機(jī)器的重新啟動(dòng)。 3 Land 攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過(guò)IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。 4 Smurf 該攻擊向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求(如ICMP回應(yīng)請(qǐng)求)的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請(qǐng)求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。 5 SYN flood 該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYN ACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒(méi)有收到ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。 6 CPU Hog 一種通過(guò)耗盡系統(tǒng)資源使運(yùn)行NT的計(jì)算機(jī)癱瘓的拒絕服務(wù)攻擊，利用Windows NT排定當(dāng)前運(yùn)行程序的方式所進(jìn)行的攻擊。 7 Win Nuke 是以拒絕目的主機(jī)服務(wù)為目標(biāo)的網(wǎng)絡(luò)層次的攻擊。攻擊者向受害主機(jī)的端口139，即netbios發(fā)送大量的數(shù)據(jù)。因?yàn)檫@些數(shù)據(jù)并不是目的主機(jī)所需要的，所以會(huì)導(dǎo)致目的主機(jī)的死機(jī)。 8 RPC Locator 攻擊者通過(guò)telnet連接到受害者機(jī)器的端口135上，發(fā)送數(shù)據(jù)，導(dǎo)致CPU資源完全耗盡。依照程序設(shè)置和是否有其他程序運(yùn)行，這種攻擊可以使受害計(jì)算機(jī)運(yùn)行緩慢或者停止響應(yīng)。無(wú)論哪種情況，要使計(jì)算機(jī)恢復(fù)正常運(yùn)行速度必須重新啟動(dòng)。 分布式拒絕服務(wù)攻擊 分布式拒絕服務(wù)攻擊（DDoS）是攻擊者經(jīng)常采用而且難以防范的攻擊手段。DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了 目標(biāo)對(duì)惡意攻擊包的消化能力加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包，這樣一來(lái)攻擊就不會(huì)產(chǎn)生什么效果。所以分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。如果用一臺(tái)攻擊機(jī)來(lái)攻擊不再能起作用的話，攻擊者就使用10臺(tái)、100臺(tái)攻擊機(jī)同時(shí)攻擊。 DDoS就是利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以比從前更大的規(guī)模來(lái)進(jìn)攻受害者。 高速?gòu)V泛連接的網(wǎng)絡(luò)也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過(guò)路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別的，大城市之間更可以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來(lái)更靈活了。 一個(gè)比較完善的DDoS攻擊體系分成四大部分： 攻擊者所在機(jī) 控制機(jī)（用來(lái)控制傀儡機(jī)） 傀儡機(jī) 受害者 先來(lái)看一下最重要的控制機(jī)和傀儡機(jī)：它們分別用做控制和實(shí)際發(fā)起攻擊。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別，對(duì)受害者來(lái)說(shuō)，DDoS的實(shí)際攻擊包是從攻擊傀儡機(jī)上發(fā)出的，控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)控制機(jī)和傀儡機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上，這些程序與正常的程序一樣運(yùn)行并等待來(lái)自黑客的指令，通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí)，這些傀儡機(jī)器并沒(méi)有什么異常，只是一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時(shí)候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。 為什么黑客不直接去控制攻擊傀儡機(jī)，而要從控制傀儡機(jī)上轉(zhuǎn)一下呢？。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來(lái)說(shuō)，肯定不愿意被捉到，而攻擊者使用的傀儡機(jī)越多，他實(shí)際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺(tái)機(jī)器后，高水平的攻擊者會(huì)首先做兩件事：1.考慮如何留好后門，2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺(jué)到。比較初級(jí)的黑客會(huì)不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒(méi)了就會(huì)知道有人干了壞事了，頂多無(wú)法再?gòu)娜罩景l(fā)現(xiàn)是誰(shuí)干的而已。相反，真正的好手會(huì)挑有關(guān)自己的日志項(xiàng)目刪掉，讓人看不到異常的情況。這樣可以長(zhǎng)時(shí)間地利用傀儡機(jī)。但是在攻擊傀儡機(jī)上清理日志實(shí)在是一項(xiàng)龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對(duì)這個(gè)任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機(jī)弄得不是很干凈，通過(guò)它上面的線索找到了控制它的上一級(jí)計(jì)算機(jī)，這上級(jí)的計(jì)算機(jī)如果是黑客自己的機(jī)器，那么他就會(huì)被揪出來(lái)了。但如果這是控制用的傀儡機(jī)的話，黑客自身還是安全的?？刂瓶軝C(jī)的數(shù)目相對(duì)很少，一般一臺(tái)就可以控制幾十臺(tái)攻擊機(jī)，清理一臺(tái)計(jì)算機(jī)的日志對(duì)黑客來(lái)講就輕松多了，這樣從控制機(jī)再找到黑客的可能性也大大降低。 拒絕服務(wù)攻擊工具 Targa 可以進(jìn)行8種不同的拒絕服務(wù)攻擊，作者是Mixter，可以在url/url和/url網(wǎng)站下載。Mixter把獨(dú)立的dos攻擊代碼放在一起，做出一個(gè)易用的程序。攻擊者可以選擇進(jìn)行單個(gè)的攻擊或嘗試所有的攻擊，直到成功為止。 FN2K DDOS工具?？梢钥醋魇荰raga加強(qiáng)的程序。TFN2K運(yùn)行的DOS攻擊與Traga相同，并增加了5種攻擊。另外，它是一個(gè)DDOS工具，這意味著它可以運(yùn)行分布模式，即Internet上的幾臺(tái)計(jì)算機(jī)可以同時(shí)攻擊一臺(tái)計(jì)算機(jī)和網(wǎng)絡(luò)。Trinoo DDOS工具，是發(fā)布最早的主流工具，因而功能上與TFN2K比較不是那么強(qiáng)大。Trinoo使用tcp和udp，因而如果一個(gè)公司在正常的基礎(chǔ)上用掃描程序檢測(cè)端口，攻擊程序很容易被檢測(cè)到。 Stacheldraht Stacheldraht是另一個(gè)DDOS攻擊工具，它結(jié)合了TFN與trinoo的特點(diǎn)，并添加了一些補(bǔ)充特征，如加密組件之間的通信和自動(dòng)更新守護(hù)進(jìn)程。用BIOS控制計(jì)算機(jī)安全縱觀市場(chǎng)上的安全產(chǎn)品，從網(wǎng)絡(luò)防火墻到各種網(wǎng)絡(luò)加密、個(gè)人數(shù)字簽證以及早期硬盤鎖，均未能對(duì)個(gè)人計(jì)算機(jī)本身進(jìn)行實(shí)質(zhì)性的保護(hù)。這些安全機(jī)制大都基于這樣一種原理:利用一個(gè)軟件，輸入一個(gè)特定的密碼，經(jīng)過(guò)驗(yàn)證后即可獲得合法身份，從而實(shí)現(xiàn)各種操作，如購(gòu)物、收發(fā)公文、瀏覽甚至修改機(jī)密數(shù)據(jù)。眾所周知，這種基于純密碼的機(jī)制是很脆弱的，所以，許多關(guān)鍵行業(yè)和部門都采用了軟、硬結(jié)合的方式，如設(shè)立各種Smart卡認(rèn)證機(jī)制。在銀行工作的職工，每人都有一張代表自己電子身份的IC卡，每天上班，必須先刷卡才能進(jìn)入銀行的業(yè)務(wù)系統(tǒng)。這種機(jī)制的安全性大大提高了，但對(duì)于個(gè)人或普通企業(yè)用計(jì)算機(jī)，這種機(jī)制成本太高。本文從BIOS工作原理出發(fā)，提出一種安全性高、全新的計(jì)算機(jī)安全保護(hù)機(jī)制。一、原理BIOS是計(jì)算機(jī)架構(gòu)中最為底層的軟件。在PC一加電時(shí)，首先執(zhí)行的就是它，它負(fù)責(zé)對(duì)計(jì)算機(jī)進(jìn)行自檢和初始化，在檢查PC各部件都正常后再由它引導(dǎo)操作系統(tǒng)，如DOS、Windows等。如果一臺(tái)PC沒(méi)有BIOS，即無(wú)法開機(jī)，成了廢鐵一堆。而且BIOS一般是不可以相互替代的，只有同一個(gè)廠家同一型號(hào)的主板，其BIOS才可以互換。本機(jī)制的基本原理就是將PC中的BIOS從主機(jī)中抽出，存到一個(gè)帶加密的外部設(shè)備中，如USB鑰匙盤等，沒(méi)有該盤就不能開啟計(jì)算機(jī);又由于外部設(shè)備是加密的，即使有含BIOS的USB鑰匙盤，但不知道密碼也不能開機(jī)，從而實(shí)現(xiàn)計(jì)算機(jī)的保護(hù)。這種帶加密的鑰匙盤由于各自密碼或加密算法不同，也避免了使用同型號(hào)BIOS進(jìn)行開機(jī)的可能。二、實(shí)現(xiàn)BIOS儲(chǔ)存在計(jì)算機(jī)主機(jī)板的一種IC芯片(通常是FLASH)中，它有兩個(gè)主要的組成部分，即BootBlock段和主體BIOS。BootBlock段是不壓縮的且存放于固定的地址空間，它是計(jì)算機(jī)開機(jī)時(shí)首先執(zhí)行的部分。它主要負(fù)責(zé)對(duì)計(jì)算機(jī)硬件做最基本、最簡(jiǎn)單的初始化，而后解壓縮主體BIOS的其他模塊，并一一執(zhí)行，其流程如圖1所示。由于BootBlock的這一特點(diǎn)，無(wú)需將BootBlock段抽出至外部設(shè)備中，反而要利用它的初始化能力以啟動(dòng)與外部設(shè)備如USB盤的通信。但必須對(duì)BootBlock段加以修改，以實(shí)現(xiàn)對(duì)USB鑰匙盤的解密、主體BIOS的讀入過(guò)程，即在檢查BIOS校驗(yàn)和之前，從鍵盤讀取用戶的密碼，并將該密碼通過(guò)一定的運(yùn)算方法加密，并發(fā)往USB接口，在USB鑰匙盤收到該密碼后，允許內(nèi)存的BIOS數(shù)據(jù)可讀。修改后的BootBlock段流程。這樣經(jīng)過(guò)修改后，原主機(jī)板中存儲(chǔ)BIOS的FLASH只存儲(chǔ)修改過(guò)的BootBlock段代碼，不再有主體BIOS。同時(shí)不再采用FLASH芯片，直接使用一次性寫入的PROM，避免其他軟件或病毒對(duì)該區(qū)域代碼的修改。對(duì)于具體的加密算法和密碼認(rèn)證機(jī)制，不同的制造商可以選擇不同的方式，如可以將主機(jī)板上具有惟一性的參數(shù)加入算法中，以實(shí)現(xiàn)一個(gè)主機(jī)板只有一套USB鑰匙盤相對(duì)應(yīng)，等等。USB鑰匙盤的實(shí)現(xiàn)，和市面上通常所說(shuō)的軟件狗，其原理是一樣的，只是這里說(shuō)的USB鑰匙盤的儲(chǔ)存容量要求相對(duì)大一些，至少要256KB以上。當(dāng)然也可以不使用USB鑰匙盤，而利用一些IC封裝的CPU卡或SIM卡，做成LPT或COM接口的設(shè)備，如北京握奇公司就提供串行的SIM IC，只需要稍加點(diǎn)簡(jiǎn)單的電路就可以實(shí)現(xiàn)與COM口的通信。其原理和USB鑰匙盤一樣，只是使用的通信接口不同而已。三、擴(kuò)展前面所說(shuō)的機(jī)制已經(jīng)可以實(shí)現(xiàn)計(jì)算機(jī)安全保護(hù)了，但為了增加實(shí)用性，還需要做一些簡(jiǎn)單的擴(kuò)展，以提高破譯的代價(jià)。擴(kuò)展一是使用IDE的安全特性?，F(xiàn)代計(jì)算機(jī)BIOS都已經(jīng)支持IDE加密(AMI和AWARD BIOS都有此功能)，在實(shí)際使用過(guò)程中可結(jié)合該功能。該功能是對(duì)IDE硬盤進(jìn)行加密，在BIOS開機(jī)階段要求輸入正確的密碼，否則該硬盤不可以使用。在沒(méi)有通過(guò)密碼驗(yàn)證的情況下，BIOS根本不能正確識(shí)別硬盤的設(shè)備類型，OS更不知道該硬盤的存在，也就無(wú)法使用或破壞硬盤中原有的數(shù)據(jù)。擴(kuò)展二是修改系統(tǒng)BIOS，在BIOS中將硬盤參數(shù)，如分區(qū)表等備份到USB鑰匙盤。做過(guò)BIOS開發(fā)的工程師知道，系統(tǒng)開機(jī)時(shí)首先執(zhí)行的是BIOS，系統(tǒng)關(guān)機(jī)時(shí)最后執(zhí)行的也是BIOS(意外斷電除外，無(wú)論是操作系統(tǒng)關(guān)機(jī)還是按Power Button關(guān)機(jī)，都有對(duì)應(yīng)的SMI處理程序)。利用BIOS的這個(gè)特性，在每次開機(jī)時(shí)，BIOS負(fù)責(zé)從USB鑰匙盤中讀取硬盤參數(shù)并恢復(fù)到硬盤中，在關(guān)機(jī)前，BIOS將硬盤參數(shù)備份到USB鑰匙盤，同時(shí)破壞掉硬盤中該區(qū)域的數(shù)據(jù)。這樣，即使將該硬盤安裝到別的系統(tǒng)中，沒(méi)有對(duì)應(yīng)的鑰匙盤也不能使用黑客突破防火墻常用的幾種技術(shù)一、_blank防火墻基本原理 首先，我們需要了解一些基本的_blank防火墻實(shí)現(xiàn)原理。_blank防火墻目前主要分包過(guò)濾，和狀態(tài)檢測(cè)的包過(guò)濾，應(yīng)用層代理_blank防火墻。但是他們的基本實(shí)現(xiàn)都是類似的。 -路由器-網(wǎng)卡_blank防火墻網(wǎng)卡-內(nèi)部網(wǎng)絡(luò) _blank防火墻一般有兩個(gè)以上的網(wǎng)絡(luò)卡，一個(gè)連到外部(router)，另一個(gè)是連到內(nèi)部網(wǎng)絡(luò)。當(dāng)打開主機(jī)網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能時(shí)，兩個(gè)網(wǎng)卡間的網(wǎng)絡(luò)通訊能直接通過(guò)。當(dāng)有_blank防火墻時(shí)，他好比插在網(wǎng)卡之間，對(duì)所有的網(wǎng)絡(luò)通訊進(jìn)行控制。 說(shuō)到訪問(wèn)控制，這是_blank防火墻的核心了：)，_blank防火墻主要通過(guò)一個(gè)訪問(wèn)控制表來(lái)判斷的，他的形式一般是一連串的如下規(guī)則： 1 accept from+ 源地址，端口 to+ 目的地址，端口+ 采取的動(dòng)作 2 deny .(deny就是拒絕。) 3 nat .(nat是地址轉(zhuǎn)換。后面說(shuō)) _blank防火墻在網(wǎng)絡(luò)層(包括以下的煉路層)接受到網(wǎng)絡(luò)數(shù)據(jù)包后，就從上面的規(guī)則連表一條一條地匹配，如果符合就執(zhí)行預(yù)先安排的動(dòng)作了！如丟棄包。 但是，不同的_blank防火墻，在判斷攻擊行為時(shí)，有實(shí)現(xiàn)上的差別。下面結(jié)合實(shí)現(xiàn)原理說(shuō)說(shuō)可能的攻擊。 二、攻擊包過(guò)濾_blank防火墻 包過(guò)濾_blank防火墻是最簡(jiǎn)單的一種了，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)_blank防火墻的規(guī)則表，來(lái)檢測(cè)攻擊行為。他根據(jù)數(shù)據(jù)包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來(lái)過(guò)濾！很容易受到如下攻擊： 1 ip 欺騙攻擊： 這種攻擊，主要是修改數(shù)據(jù)包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來(lái)騙過(guò)_blank防火墻的檢測(cè)。如：外部攻擊者，將他的數(shù)據(jù)報(bào)源地址改為內(nèi)部網(wǎng)絡(luò)地址，_blank防火墻看到是合法地址就放行了：)。可是，如果_blank防火墻能結(jié)合接口，地址來(lái)匹配，這種攻擊就不能成功了：( 2 d.o.s拒絕服務(wù)攻擊 簡(jiǎn)單的包過(guò)濾_blank防火墻不能跟蹤 tcp的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦_blank防火墻受到d.o.s攻擊，他可能會(huì)忙于處理，而忘記了他自己的過(guò)濾功能。：)你就可以饒過(guò)了，不過(guò)這樣攻擊還很少的。！ 3 分片攻擊 這種攻擊的原理是：在IP的分片包中，所有的分片包用一個(gè)分片偏移字段標(biāo)志分片包的順序，但是，只有第一個(gè)分片包含有TCP端口號(hào)的信息。當(dāng)IP分片包通過(guò)分組過(guò)濾_blank防火墻時(shí)，_blank防火墻只根據(jù)第一個(gè)分片包的Tcp信息判斷是否允許通過(guò)，而其他后續(xù)的分片不作_blank防火墻檢測(cè)，直接讓它們通過(guò)。 這樣，攻擊者就可以通過(guò)先發(fā)送第一個(gè)合法的IP分片，騙過(guò)_blank防火墻的檢測(cè)，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透_blank防火墻，直接到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)，從而威脅網(wǎng)絡(luò)和主機(jī)的安全。 4 木馬攻擊 對(duì)于包過(guò)濾_blank防火墻最有效的攻擊就是木馬了，一但你在內(nèi)部網(wǎng)絡(luò)安裝了木馬，_blank防火墻基本上是無(wú)能為力的。 原因是：包過(guò)濾_blank防火墻一般只過(guò)濾低端口(1-1024)，而高端口他不可能過(guò)濾的(因?yàn)椋恍┓?wù)要用到高端口，因此_blank防火墻不能關(guān)閉高端口的)，所以很多的木馬都在高端口打開等待，如冰河，subseven等。 但是木馬攻擊的前提是必須先上傳，運(yùn)行木馬，對(duì)于簡(jiǎn)單的包過(guò)濾_blank防火墻來(lái)說(shuō)，是容易做的。這里不寫這個(gè)了。大概就是利用內(nèi)部網(wǎng)絡(luò)主機(jī)開放的服務(wù)漏洞。 早期的_blank防火墻都是這種簡(jiǎn)單的包過(guò)濾型的，到現(xiàn)在已很少了，不過(guò)也有?，F(xiàn)在的包過(guò)濾采用的是狀態(tài)檢測(cè)技術(shù)，下面談?wù)劆顟B(tài)檢測(cè)的包過(guò)濾_blank防火墻。三、攻擊狀態(tài)檢測(cè)的包過(guò)濾 狀態(tài)檢測(cè)技術(shù)最早是checkpoint提出的，在國(guó)內(nèi)的許多_blank防火墻都聲稱實(shí)現(xiàn)了狀態(tài)檢測(cè)技術(shù)。 可是：)很多是沒(méi)有實(shí)現(xiàn)的。到底什么是狀態(tài)檢測(cè)？ 一句話，狀態(tài)檢測(cè)就是從tcp連接的建立到終止都跟蹤檢測(cè)的技術(shù)。 原先的包過(guò)濾，是拿一個(gè)一個(gè)單獨(dú)的數(shù)據(jù)包來(lái)匹配規(guī)則的?？墒俏覀冎溃粋€(gè)tcp連接，他的數(shù)據(jù)包是前后關(guān)聯(lián)的，先是syn包，-數(shù)據(jù)包=fin包。數(shù)據(jù)包的前后序列號(hào)是相關(guān)的。 如果割裂這些關(guān)系，單獨(dú)的過(guò)濾數(shù)據(jù)包，很容易被精心夠造的攻擊數(shù)據(jù)包欺騙！如nmap的攻擊掃描，就有利用syn包，fin包，reset包來(lái)探測(cè)_blank防火墻后面的網(wǎng)絡(luò)。！ 相反，一個(gè)完全的狀態(tài)檢測(cè)_blank防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個(gè)連接的狀態(tài)信息(地址，port，選項(xiàng)。),后續(xù)的屬于同一個(gè)連接的數(shù)據(jù)包，就不需要在檢測(cè)了。直接通過(guò)。而一些精心夠造的攻擊數(shù)據(jù)包由于沒(méi)有在內(nèi)存登記相應(yīng)的狀態(tài)信息，都被丟棄了。這樣這些攻擊數(shù)據(jù)包，就不能饒過(guò)_blank防火墻了。 說(shuō)狀態(tài)檢測(cè)必須提到動(dòng)態(tài)規(guī)則技術(shù)。在狀態(tài)檢測(cè)里，采用動(dòng)態(tài)規(guī)則技術(shù)，原先高端口的問(wèn)題就可以解決了。實(shí)現(xiàn)原理是：平時(shí)，_blank防火墻可以過(guò)濾內(nèi)部網(wǎng)絡(luò)的所有端口(1-65535),外部攻擊者難于發(fā)現(xiàn)入侵的切入點(diǎn)，可是為了不影響正常的服務(wù)，_blank防火墻一但檢測(cè)到服務(wù)必須開放高端口時(shí)，如(ftp協(xié)議，irc等)，_blank防火墻在內(nèi)存就可以動(dòng)態(tài)地天加一條規(guī)則打開相關(guān)的高端口。等服務(wù)完成后，這條規(guī)則就又被_blank防火墻刪除。這樣，既保障了安全，又不影響正常服務(wù)，速度也快。！ 一般來(lái)說(shuō)，完全實(shí)現(xiàn)了狀態(tài)檢測(cè)技術(shù)_blank防火墻，智能性都比較高，一些掃描攻擊還能自動(dòng)的反應(yīng)，因此，攻擊者要很小心才不會(huì)被發(fā)現(xiàn)。 但是，也有不少的攻擊手段對(duì)付這種_blank防火墻的。 1 協(xié)議隧道攻擊 協(xié)議隧道的攻擊思想類似與VPN的實(shí)現(xiàn)原理，攻擊者將一些惡意的攻擊數(shù)據(jù)包隱藏在一些協(xié)議分組的頭部，從而穿透_blank防火墻系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。 例如，許多簡(jiǎn)單地允許ICMP回射請(qǐng)求、ICMP回射應(yīng)答和UDP分組通過(guò)的_blank防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。Loki和lokid(攻擊的客戶端和服務(wù)端)是實(shí)施這種攻擊的有效的工具。在實(shí)際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個(gè)系統(tǒng)上安裝上lokid服務(wù)端，而后攻擊者就可以通過(guò)loki客戶端將希望遠(yuǎn)程執(zhí)行的攻擊命令(對(duì)應(yīng)IP分組)嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端lokid，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。由于許多_blank防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過(guò)_blank防火墻的認(rèn)證，順利地到達(dá)攻擊目標(biāo)主機(jī)下面的命令是用于啟動(dòng)lokid服務(wù)器程序： lokid-p CI Cvl loki客戶程序則如下啟動(dòng)： loki Cd91(攻擊目標(biāo)主機(jī))-p CI Cv1 Ct3 這樣，lokid和loki就聯(lián)合提供了一個(gè)穿透_blank防火墻系統(tǒng)訪問(wèn)目標(biāo)系統(tǒng)的一個(gè)后門。 2 利用FTP-pasv繞過(guò)_blank防火墻認(rèn)證的攻擊 FTP-pasv攻擊是針對(duì)_blank防火墻實(shí)施入侵的重要手段之一。目前很多_blank防火墻不能過(guò)濾這種攻擊手段。如CheckPoint的Firewall-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過(guò)程中，它在每個(gè)包中尋找227這個(gè)字符串。如果發(fā)現(xiàn)這種包，將從中提取目標(biāo)地址和端口，并對(duì)目標(biāo)地址加以驗(yàn)證，通過(guò)后，將允許建立到該地址的TCP連接。攻擊者通過(guò)這個(gè)特性，可以設(shè)法連接受_blank防火墻保護(hù)的服務(wù)器和服務(wù)。3 反彈木馬攻擊 反彈木馬是對(duì)付這種_blank防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時(shí)地連接外部攻擊者控制的主機(jī)，由于連接是從內(nèi)部發(fā)起的，_blank防火墻(任何的_blank防火墻)都認(rèn)為是一個(gè)合法的連接，因此基本上_blank防火墻的盲區(qū)就是這里了。_blank防火墻不能區(qū)分木馬的連接和合法的連接。 但是這種攻擊的局限是：必須首先安裝這個(gè)木馬！所有的木馬的第一步都是關(guān)鍵！四、攻擊代理 代理是運(yùn)行在應(yīng)用層的_blank防火墻，他實(shí)質(zhì)是啟動(dòng)兩個(gè)連接，一個(gè)是客戶到代理，另一個(gè)是代理到目的服務(wù)器。 實(shí)現(xiàn)上比較簡(jiǎn)單，和前面的一樣也是根據(jù)規(guī)則過(guò)濾。由于運(yùn)行在應(yīng)用層速度比較慢,攻擊代理的方法很多。 這里就以wingate為例，簡(jiǎn)單說(shuō)說(shuō)了。(太累了) WinGate是目前應(yīng)用非常廣泛的一種Windows95/NT代理_blank防火墻軟件，內(nèi)部用戶可以通過(guò)一臺(tái)安裝有WinGate的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)，但是它也存在著幾個(gè)安全脆弱點(diǎn)。黑客經(jīng)常利用這些安全漏洞獲得WinGate的非授權(quán)Web、Socks和Telnet的訪問(wèn)，從而偽裝成WinGate主機(jī)的身份對(duì)下一個(gè)攻擊目標(biāo)發(fā)動(dòng)攻擊。因此，這種攻擊非常難于被跟蹤和記錄。導(dǎo)致WinGate安全漏洞的原因大多數(shù)是管理員沒(méi)有根據(jù)網(wǎng)絡(luò)的實(shí)際情況對(duì)WinGate代理_blank防火墻軟件進(jìn)行合理的設(shè)置，只是簡(jiǎn)單地從缺省設(shè)置安裝完畢后就讓軟件運(yùn)行，這就給攻擊者可乘之機(jī)。 1 非授權(quán)Web訪問(wèn) 某些WinGate版本(如運(yùn)行在NT系統(tǒng)下的2.1d版本)在誤配置情況下，允許外部主機(jī)完全匿名地訪問(wèn)因特網(wǎng)。因此，外部攻擊者就可以利用WinGate主機(jī)來(lái)對(duì)Web服務(wù)器發(fā)動(dòng)各種Web攻擊( 如CGI的漏洞攻擊等)，同時(shí)由于Web攻擊的所有報(bào)文都是從80號(hào)Tcp端口穿過(guò)的，因此，很難追蹤到攻擊者的來(lái)源。 檢測(cè) 檢測(cè)WinGate主機(jī)是否有這種安全漏洞的方法如下： 1) 以一個(gè)不會(huì)被過(guò)濾掉的連接(譬如說(shuō)撥號(hào)連接)連接到因特網(wǎng)上。 2) 把瀏覽器的代理服務(wù)器地址指向待測(cè)試的WinGate主機(jī)。 如果瀏覽器能訪問(wèn)到因特網(wǎng)，則WinGate主機(jī)存在著非授權(quán)Web訪問(wèn)漏洞。 2 非授權(quán)Socks訪問(wèn) 在WinGate的缺省配置中，Socks代理(1080號(hào)Tcp端口)同樣是存在安全漏洞。與打開的Web代理(80號(hào)Tcp端口)一樣，外部攻擊者可以利用Socks代理訪問(wèn)因特網(wǎng)。 防范 要防止攻擊WinGate的這個(gè)安全脆弱點(diǎn)，管理員可以限制特定服務(wù)的捆綁。在多宿主(multi homed)系統(tǒng)上，執(zhí)行以下步驟以限定如何提供代理服務(wù)。 1選擇Socks或WWWProxyServer屬性。 2選擇Bindings標(biāo)簽。 3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按鈕，并指定本W(wǎng)inGate服務(wù)器的內(nèi)部接口。 非授權(quán)Telnet訪問(wèn) 它是WinGate最具威脅的安全漏洞。通過(guò)連接到一個(gè)誤配置的inGate服務(wù)器的Telnet服務(wù)，攻擊者可以使用別人的主機(jī)隱藏自己的蹤跡，隨意地發(fā)動(dòng)攻擊。 檢測(cè) 檢測(cè)WinGate主機(jī)是否有這種安全漏洞的方法如下： 1.使用telnet嘗試連接到一臺(tái)WinGate服務(wù)器。 roothappy/tmp#telnet91 Trying91. Connectedto91. Escapecharacteris. Wingate 2.如果接受到如上的響應(yīng)文本，那就輸入待連接到的網(wǎng)站。 3.如果看到了該新系統(tǒng)的登錄提示符，那么該服務(wù)器是脆弱的。 ConnectedtohostConnected SunOS5.6 Login: 對(duì)策 防止這種安全脆弱點(diǎn)的方法和防止非授權(quán)Socks訪問(wèn)的方法類似。在WinGate中簡(jiǎn)單地限制特定服務(wù)的捆綁就可以解決這個(gè)問(wèn)題。一般來(lái)說(shuō)，在多宿主(multihomed)系統(tǒng)管理員可以通過(guò)執(zhí)行以下步驟來(lái)完成： 1.選擇TelnetSever屬性。 2.選擇Bindings標(biāo)簽。 3.按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按鈕，并指定本W(wǎng)inGate服務(wù)器的內(nèi)部接口。五、后話 有_blank防火墻的攻擊不單是上面的一點(diǎn)，我有什么寫的不對(duì)的，大家指正。 一直以來(lái)，黑客都在研究攻擊_blank防火墻的技術(shù)和手段，攻擊的手法和技術(shù)越來(lái)越智能化和多樣化。但是就黑客攻擊_blank防火墻的過(guò)程上看，大概可以分為三類攻擊。 第一類攻擊_blank防火墻的方法是探測(cè)在目標(biāo)網(wǎng)絡(luò)上安裝的是何種_blank防火墻系統(tǒng)并且找出此_blank防火墻系統(tǒng)允許哪些服務(wù)。我們叫它為對(duì)_blank防火墻的探測(cè)攻擊。 第二類攻擊_blank防火墻的方法是采取地址欺騙、TCP序號(hào)攻擊等手法繞過(guò)_blank防火墻的認(rèn)證機(jī)制，從而 對(duì)_blank防火墻和內(nèi)部網(wǎng)絡(luò)破壞。 第三類攻擊_blank防火墻的方法是尋找、利用_blank防火墻系統(tǒng)實(shí)現(xiàn)和設(shè)計(jì)上的安全漏洞，從而有針對(duì)性地發(fā)動(dòng)攻擊。這種攻擊難度比較大，可是破壞性很大。妙用Windows神秘的類標(biāo)識(shí)符每個(gè)公民都有自己的身份證和身份證號(hào)。同樣，Windows中的每一個(gè)系統(tǒng)級(jí)應(yīng)用程序（如“我的電腦”、Internet Explorer等）也都有惟一的類標(biāo)識(shí)符與之相對(duì)應(yīng)，大部分注冊(cè)過(guò)的后綴名也有自己的文件標(biāo)識(shí)符。有些朋友不禁要問(wèn)：這些文件標(biāo)識(shí)符究竟有什么用呢？其實(shí)，理解文件標(biāo)識(shí)符，不僅能讓我們快速進(jìn)行系統(tǒng)優(yōu)化，還能輕松實(shí)現(xiàn)一些人無(wú)我有的個(gè)性化設(shè)置，心動(dòng)了嗎？那么就請(qǐng)隨我一起來(lái)探索文件標(biāo)識(shí)符吧！ 實(shí)例：巧用易容術(shù) 隱藏文件夾 1.讓文件夾搖身變成WAV文件 新建一個(gè)文件夾，把要隱藏的文件放入該文件夾中，然后將文件夾重命名為：yourname.wav.，這樣你會(huì)看到該文件夾的圖標(biāo)變成了WAV文件的圖標(biāo)，名稱是yourname.wav。雙擊它，執(zhí)行的不是進(jìn)入文件夾，而是啟動(dòng)“媒體播放器”，文件夾仿佛變成了聲音文件但卻提示打不開。別人一定會(huì)以為是受損的聲音文件。要想打開它，可直接選中并右擊該文件（其實(shí)是文件夾，實(shí)在是太像文件了），選擇“打開”即可。 2.把文件夾變成“網(wǎng)上鄰居” 上面的方法雖好，但右擊選擇“打開”就會(huì)讓自己的秘密現(xiàn)形，有沒(méi)有更好的招數(shù)呢？將要隱藏的文件夾改名為：網(wǎng)上鄰居.，回車后你將看到熟悉的“網(wǎng)上鄰居”圖標(biāo)，雙擊后看一看，和桌面上的“網(wǎng)上鄰居”一模一樣。 為了偽裝得更巧妙，最好將系統(tǒng)默認(rèn)的桌面“網(wǎng)上鄰居”圖標(biāo)刪除掉，打開“注冊(cè)表編輯器”，找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace。此時(shí)就可以看到“網(wǎng)上鄰居”等系統(tǒng)圖標(biāo)，根據(jù)需要?jiǎng)h除即可。 這樣桌面上就只剩下你自己創(chuàng)建的“網(wǎng)上鄰居”了。 3.破解被“易容”的文件夾 非常簡(jiǎn)單，只要安裝了WinRAR，然后在被易容的文件夾上右擊，所有偽裝就被輕松地識(shí)破了。接著雙擊打開任意一個(gè)RAR壓縮包，在地址條中定位到偽裝文件夾的上級(jí)目錄（如果是C:test文件夾，就定位到C盤根目錄），你會(huì)在下面的文件列表中看到偽裝文件夾（見(jiàn)圖2），選中它后按F2鍵，將文件夾名后面的標(biāo)識(shí)符去掉即可。 小提示 ：國(guó)內(nèi)一些文件夾隱藏軟件用的就是這個(gè)原理，用同樣方法可以輕松將其破解。 認(rèn)識(shí)類標(biāo)識(shí)符 上面的易容術(shù)其實(shí)用到的是Windows中的文件標(biāo)識(shí)符，其英文名稱是CLSID，也稱類標(biāo)識(shí)符，位于注冊(cè)表的HKEY_LOCAL_MACHINESoftwareClassesCLSID下，通常由32個(gè)十六進(jìn)制數(shù)構(gòu)成，其一般格式是“”。我們操作電腦時(shí)，會(huì)對(duì)系統(tǒng)程序名稱發(fā)出指令，Windows則通過(guò)對(duì)該程序的文件標(biāo)識(shí)符識(shí)別而做出響應(yīng)。因此，文件標(biāo)識(shí)符與系統(tǒng)程序是一一對(duì)應(yīng)的關(guān)系。 常用文件標(biāo)識(shí)符 我的電腦 我的文檔 撥號(hào)網(wǎng)絡(luò) 控制面板 計(jì)劃任務(wù) 打印機(jī) 記事本 網(wǎng)絡(luò)鄰居 回收站 公文包 字體 Web 文件夾 實(shí)例：打造“我的電腦 2.0” 1.刪除無(wú)用項(xiàng)目 “我的電腦”中可能會(huì)有一些系統(tǒng)級(jí)程序（如Web文件夾、計(jì)劃任務(wù)等），平時(shí)很少用到它們，我們可以打開注冊(cè)表編輯器，找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerMyComputerNameSpace，其下有幾個(gè)類標(biāo)識(shí)符，它們對(duì)應(yīng)的是在“我的電腦”中已有的系統(tǒng)級(jí)程序，右側(cè)窗格為對(duì)應(yīng)的系統(tǒng)級(jí)程序名稱，右擊不需要的項(xiàng)目選擇“刪除”即可。 小提示 ：Windows桌面也有不少系統(tǒng)級(jí)的圖標(biāo)，不允許刪除，找HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerdesktopNameSpace，然后選擇并刪除不需要的項(xiàng)目即可。 WindowsXP的“我的電腦”添加了一項(xiàng)“在這臺(tái)計(jì)算機(jī)存儲(chǔ)的文件”，可以顯示電腦中各用戶存儲(chǔ)的文件和共享文件，這在一定程度上造成了系統(tǒng)的安全隱患，同時(shí)也泄漏了用戶隱私，想要?jiǎng)h除這項(xiàng)功能，可找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerMyComputerNameSpaceDelegateFolders，刪除“”項(xiàng)即可。 2.添加常用項(xiàng)目和文件夾 一般情況下，許多用戶經(jīng)常會(huì)用到“控制面板”中的“網(wǎng)絡(luò)和撥號(hào)連接”、”打印機(jī)”“用戶和密碼”、“管理工具”等，不如將它們直接移到“我的電腦”中，這樣用起來(lái)更順手。 首先，你可以在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerMyComputerNameSpace下新建名為“”和“”的項(xiàng)，完成后，在“我的電腦”中便會(huì)自動(dòng)出現(xiàn)“網(wǎng)絡(luò)和撥號(hào)連接”、“打印機(jī)”這兩個(gè)新項(xiàng)。 不過(guò)，像“用戶和密碼”、“管理工具”等就沒(méi)那么容易添加了，因此，推薦你使用Shell Object Editor這款免費(fèi)軟件（下載地址：urlhttp:/www.tropictech.de/software/shellobject/ShellObjectEditor_Install300.exe/url）。 第一步：安裝后啟動(dòng)軟件，單擊“Create new”按鈕進(jìn)入創(chuàng)建新項(xiàng)目向?qū)?，在“Shell Object Name”（外殼事件名稱）窗口第一個(gè)文本框中輸入“用戶和密碼”，在第二個(gè)文本框中可以輸入相關(guān)描述，比如：設(shè)置Windows的用戶和密碼。 第二步：?jiǎn)螕簟跋乱徊健卑粹o，在“Select a funtion”（選擇功能）窗口點(diǎn)選“The ShellObject should behave like a program”（事件為程序），并在下面文本框中輸入“Control Userpasswords”（Windows XP請(qǐng)使用“Control Userpasswords2”），單擊“下一步”按鈕進(jìn)入選擇圖標(biāo)步驟，直接單擊按鈕會(huì)打開圖標(biāo)選擇窗口。 第三步：接著進(jìn)入