如何使 TCP包和 UDP包穿透網(wǎng)絡(luò)防火墻

第第頁(yè)如何使TCP包和UDP包穿透網(wǎng)絡(luò)防火墻如何使TCP包和UDP包穿透網(wǎng)絡(luò)防火墻

發(fā)表于：2023-06-10來(lái)源：：點(diǎn)擊數(shù)：標(biāo)簽：

通過(guò)HttpTunnel(Http隧道)技術(shù)同時(shí)逃過(guò)防火墻屏蔽以及系統(tǒng)追蹤的試驗(yàn)，我們可以看到網(wǎng)絡(luò)安全僅僅依靠某種或某幾種手段是不可靠的，同時(shí)對(duì)安全系統(tǒng)的盲目性依賴往往會(huì)造成巨大的安全隱患。希望通過(guò)本文能引起管理員對(duì)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的思考。什么是Http

通過(guò)HttpTunnel(Http隧道)技術(shù)同時(shí)逃過(guò)防火墻屏蔽以及系統(tǒng)追蹤的試驗(yàn)，我們可以看到網(wǎng)絡(luò)安全僅僅依靠某種或某幾種手段是不可靠的，同時(shí)對(duì)安全系統(tǒng)的盲目性依賴往往會(huì)造成巨大的安全隱患。希望通過(guò)本文能引起管理員對(duì)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的思考。什么是Http暗藏通道什么是局域網(wǎng)安全，系統(tǒng)管理員怎樣才能保障局域網(wǎng)的安全？這是一個(gè)不斷變化的安全概念，很長(zhǎng)的一個(gè)時(shí)期以來(lái)，在局域網(wǎng)與外界互聯(lián)處放置一個(gè)防火墻，嚴(yán)格控制開放的端口，就能在很大程度上掌握安全的主動(dòng)權(quán)，方便的控制網(wǎng)內(nèi)外用戶所能使用的服務(wù)。比如，在防火墻上僅僅開放80、53兩個(gè)端口，那么無(wú)論是內(nèi)部還是外面的惡意人士都將無(wú)法使用一些已經(jīng)證明比較危險(xiǎn)的服務(wù)。但要注意一點(diǎn)，防火墻在某種意義上是很愚蠢的，管理員對(duì)防火墻的過(guò)分依賴以及從而產(chǎn)生的懈怠情緒將不可避免的形成安全上的重大隱患，作為一個(gè)證明，“通道”技術(shù)就是一個(gè)很好的例子，這也是本文要討論的。那么什么是通道呢？這里所謂的通道，是指一種繞過(guò)防火墻端口屏蔽的通訊方式。防火墻兩端的數(shù)據(jù)包封裝在防火墻所允許通過(guò)的數(shù)據(jù)包類型或是端口上，然后穿過(guò)防火墻與對(duì)端通訊，當(dāng)封裝的數(shù)據(jù)包到達(dá)目的地時(shí)，再將數(shù)據(jù)包還原，并將還原后的數(shù)據(jù)包交送到相應(yīng)的服務(wù)上。舉例如下：A主機(jī)系統(tǒng)在防火墻之后，受防火墻保護(hù)，防火墻配置的訪問控制原則是只允許80端口的數(shù)據(jù)進(jìn)出，B主機(jī)系統(tǒng)在防火墻之外，是開放的?，F(xiàn)在假設(shè)需要從A系統(tǒng)Telnet到B系統(tǒng)上去，怎么辦？使用正常的Telnet肯定是不可能了，但我們知道可用的只有80端口，那么這個(gè)時(shí)候使用HttpTunnel通道，就是一個(gè)好的辦法，思路如下：在A機(jī)器上起一個(gè)Tunnel的Client端，讓它偵聽本機(jī)的一個(gè)不被使用的任意指定端口，如1234，同時(shí)將來(lái)自1234端口上的數(shù)據(jù)指引到遠(yuǎn)端(B機(jī))的80端口上(注意，是80端口，防火墻允許通過(guò))，然后在B機(jī)上起一個(gè)Server，同樣掛接在80端口上，同時(shí)指引80端口的來(lái)自Client的轉(zhuǎn)發(fā)到本機(jī)的Telnet服務(wù)端口23，這樣就ok了?，F(xiàn)在在A機(jī)上Telnet本機(jī)端口1234，根據(jù)剛才的設(shè)置數(shù)據(jù)包會(huì)被轉(zhuǎn)發(fā)到目標(biāo)端口為80的B機(jī)，因?yàn)榉阑饓υ试S通過(guò)80端口的數(shù)據(jù)，因此數(shù)據(jù)包暢通的穿過(guò)防火墻，到達(dá)B機(jī)。此時(shí)B機(jī)在80端口偵聽的進(jìn)程收到來(lái)自A的數(shù)據(jù)包，會(huì)將