防火墙网络常见攻击方式与对应防御方式

《防火墙网络常见攻击方式与对应防御方式》由会员分享，可在线阅读，更多相关《防火墙网络常见攻击方式与对应防御方式（9页珍藏版）》请在装配图网上搜索。

1、防火墙:网络常见攻击方式与对应防御方式崩溃型攻击死亡之ping （ping of death）概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(se

2、rvice pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。泪滴（teardrop）概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。UDP洪水（UDP flood）概览：各种各样的

3、假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。SYN洪水（SYN flood）概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来

4、的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。防御：在防火墙上过滤来自同一主机的后续连接。未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。Land攻击概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。防御：打最新的补丁，或者在防

5、火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。（包括10域、127域、192.168域、172.16到172.31域）Smurf攻击概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包

6、。Fraggle攻击概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP防御：在防火墙上过滤掉UDP应答消息电子邮件炸弹概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。畸形消息攻击概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。防御：打最新的服务补丁。利用型攻击利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：口令猜测概

7、览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。特洛伊木马概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：net

8、cat、VNC、pcAnywhere。理想的后门程序透明运行。防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。缓冲区溢出概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。信息收集型攻击信息收集型攻击并不对目标本身造成危害，如名所示这

9、类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务扫描技术地址扫描概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。防御：在防火墙上过滤掉ICMP应答消息。端口扫描概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。反响映射概览：黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型

10、包括：RESET消息、SYN-ACK消息、DNS响应包。防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答?.慢速扫描概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。防御：通过引诱服务来对慢速扫描进行侦测。体系结构探测概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（例NT和Solaris的TCP/IP堆栈具体实现

11、有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。利用信息服务DNS域转换概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。防御：在防火墙处过滤掉域转换请求。Finger服务概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。防御：关闭finger服务并记录尝

12、试连接该服务的对方IP地址，或者在防火墙上进行过滤。LDAP服务概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。假消息攻击用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。DNS高速缓存污染概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。伪造电子邮件概览：由于S

13、MTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。防御：使用PGP等安全工具并安装电子邮件证书。常见的攻击方法 你也许知道许多常见的攻击方法，下面列出了一些： 字典攻击：黑客利用一些自动执行的程序猜测用户命和密码，审计这类攻击通常需要做全面的日志记录和入侵监测系统（IDS）。 Man-in-the-middle攻击：黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。 劫持攻击：在双方进行会话时被第三方（黑客）入侵，黑客黑掉其中一方，并冒充他

14、继续与另一方进行会话。虽然不是个完全的解决方案，但强的验证方法将有助于防范这种攻击。 病毒攻击：病毒是能够自我复制和传播的小程序，消耗系统资源。在审计过程中，你应当安装最新的反病毒程序，并对用户进行防病毒教育。 非法服务：非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种攻击。 拒绝服务攻击：利用各种程序（包括病毒和包发生器）使系统崩溃或消耗带宽。 容易遭受攻击的目标 最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器，和与协议相关的服务，如DNS、WINS和SMB。本课将讨论这些通常遭受攻击的目标。 路由器 连接公网的路由器由于被暴露在外，通常成为

15、被攻击的对象。许多路由器为便于管理使用SNMP协议，尤其是SNMPv1，成为潜在的问题。许多网络管理员未关闭或加密Telnet会话，若明文传输的口令被截取，黑客就可以重新配置路由器，这种配置包括关闭接口，重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。 过滤Telnet 为了避免未授权的路由器访问，你应利用防火墙过滤掉路由器外网的telnet端口和SNMP161,162端口 技术提示：许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉，因为路由器并不需要过多的维护工作。如果需要额外的配置，你可以建立物理连接。 路由器和消耗带宽攻击 最近对

16、Yahoo、e-Bay等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些攻击是由下列分布式拒绝服务攻击工具发起的： Tribal Flood Network(TFN) Tribal Flood Network(TFN2k) Stacheldraht（TFN的一个变种） Trinoo（这类攻击工具中最早为人所知的） 因为许多公司都由ISP提供服务，所以他们并不能直接访问路由器。在你对系统进行审计时，要确保网络对这类消耗带宽式攻击的反映速度。你将在后面的课程中学习如何利用路由器防范拒绝服务攻击。 数据库 黑客最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库

17、中，这些信息包括： 雇员数据，如个人信息和薪金情况。 市场和销售情况。 重要的研发信息。 货运情况。 黑客可以识别并攻击数据库。每种数据库都有它的特征。如SQL Server使用1433/1434端口，你应该确保防火墙能够对该种数据库进行保护。你会发现，很少有站点应用这种保护，尤其在网络内部。服务器安全 WEB和FTP这两种服务器通常置于DMZ，无法得到防火墙的完全保护，所以也特别容易遭到攻击。Web和FTP服务通常存在的问题包括： 用户通过公网发送未加密的信息； 操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统； 旧有操作系统中以root权限初始运行的服务，一旦被黑客破坏，入侵者便

18、可以在产生的命令解释器中运行任意的代码。 Web页面涂改 近来，未经授权对Web服务器进行攻击并涂改缺省主页的攻击活动越来越多。许多企业、政府和公司都遭受过类似的攻击。有时这种攻击是出于政治目的。大多数情况下Web页面的涂改意味着存在这入侵的漏洞。这些攻击通常包括Man-in-the-middle攻击（使用包嗅探器）和利用缓冲区溢出。有时，还包括劫持攻击和拒绝服务攻击。 邮件服务 广泛使用的SMTP、POP3和IMAP一般用明文方式进行通信。这种服务可以通过加密进行验证但是在实际应用中通信的效率不高。又由于大多数人对多种服务使用相同的密码，攻击者可以利用嗅探器得到用户名和密码，再利用它攻击其它

19、的资源，例如Windows NT服务器。这种攻击不仅仅是针对NT系统。许多不同的服务共享用户名和密码。你已经知道一个薄弱环节可以破坏整个的网络。FTP和SMTP服务通常成为这些薄弱的环节。 与邮件服务相关的问题包括： 利用字典和暴力攻击POP3的login shell； 在一些版本中sendmail存在缓冲区溢出和其它漏洞； 利用E-mail的转发功能转发大量的垃圾信件 名称服务 攻击者通常把攻击焦点集中在DNS服务上。由于DNS使用UDP，而UDP连接又经常被各种防火墙规则所过滤，所以许多系统管理员发现将DNS服务器至于防火墙之后很困难。因此，DNS服务器经常暴露在外，使它成为攻击的目标。D

20、NS攻击包括： 未授权的区域传输； DNS 毒药，这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息，一旦成功，攻击者便可以使辅DNS服务器提供错误的名称到IP地址的解析信息； 拒绝服务攻击； 其它的一些名称服务也会成为攻击的目标，如下所示： WINS，“Coke”通过拒绝服务攻击来攻击没有打补丁的NT系统。 SMB服务（包括Windows的SMB和UNIX的Samba）这些服务易遭受Man-in-the-middle攻击，被捕获的数据包会被类似L0phtCrack这样的程序破解。 NFS和NIS服务。这些服务通常会遭受Man-in-the-middle方式的攻

21、击。 在审计各种各样的服务时，请考虑升级提供这些服务的进程。 审计系统BUG 作为安全管理者和审计人员，你需要对由操作系统产生的漏洞和可以利用的软件做到心中有数。早先版本的Microsoft IIS允许用户在地址栏中运行命令，这造成了IIS主要的安全问题。其实，最好的修补安全漏洞的方法是升级相关的软件。为了做到这些，你必须广泛地阅读和与其他从事安全工作的人进行交流，这样，你才能跟上最新的发展。这些工作会帮助你了解更多的操作系统上的特定问题。 虽然大多数的厂商都为其产品的问题发布了修补方法，但你必须充分理解补上了哪些漏洞。如果操作系统或程序很复杂，这些修补可能在补上旧问题的同时又开启了新的漏洞。

22、因此，你需要在实施升级前进行测试。这些测试工作包括在隔离的网段中验证它是否符合你的需求。当然也需要参照值得信赖的网络刊物和专家的观点。 审计Trap Door和Root Kit Root kit是用木马替代合法程序。Trap Door是系统上的bug，当执行合法程序时却产生了非预期的结果。如老版本的UNIX sendmail，在执行debug命令时允许用户以root权限执行脚本代码，一个收到严格权限控制的用户可以很轻易的添加用户账户。 虽然root kit通常出现在UNIX系统中，但攻击者也可以通过看起来合法的程序在Windows NT中置入后门。象NetBus,BackOrifice和Mas

23、ters of Paradise等后门程序可以使攻击者渗透并控制系统。木马可以由这些程序产生。如果攻击者够狡猾，他可以使这些木马程序避开一些病毒检测程序，当然用最新升级的病毒检测程序还是可以发现它们的踪迹。在对系统进行审计时，你可以通过校验分析和扫描开放端口的方式来检测是否存在root kit等问题。 审计和后门程序 通常，在服务器上运行的操作系统和程序都存在代码上的漏洞。例如，最近的商业Web浏览器就发现了许多安全问题。攻击者通常知道这些漏洞并加以利用。就象你已经知道的RedButton，它利用了Windows NT的漏洞使攻击者可以得知缺省的管理员账号，即使账号的名称已经更改。后门（bac

24、k door）也指在操作系统或程序中未记录的入口。程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。不同于bug，这种后门是由设计者有意留下的。例如，像Quake和Doom这样的程序含有后门入口允许未授权的用户进入游戏安装的系统。虽然看来任何系统管理员都不会允许类似的程序安装在网络服务器上，但这种情况还是时有发生。 从后门程序的危害性，我们可以得出结论，在没有首先阅读资料和向值得信赖的同事咨询之前不要相信任何新的服务或程序。在你进行审计时，请花费一些时间仔细记录任何你不了解它的由来和历史的程序。审计拒绝服务攻击 Windows NT 易遭受拒绝服务攻击，主要是由于这种操作系统比较

25、流行并且没有受到严格的检验。针对NT服务的攻击如此频繁的原因可以归结为：发展势头迅猛但存在许多漏洞。在审计Windows NT网络时，一定要花时间来验证系统能否经受这种攻击的考验。打补丁是一种解决方法。当然，如果能将服务器置于防火墙的保护之下或应用入侵监测系统的话就更好了。通常很容易入侵UNIX操作系统，主要因为它被设计来供那些技术精湛而且心理健康的人使用。在审计UNIX系统时，要注意Finger服务，它特别容易造成缓冲区溢出。 缓冲区溢出 缓冲区溢出是指在程序重写内存块时出现的问题。所有程序都需要内存空间和缓冲区来运行。如果有正确的权限，操作系统可以为程序分配空间。C和C+等编程语言容易造成

26、缓冲区溢出，主要因为它们不先检查是否有存在的内存块就直接调用系统内存。一个低质量的程序会不经检查就重写被其它程序占用的内存，而造成程序或整个系统死掉，而留下的shell有较高的权限，易被黑客利用运行任意代码。 据统计，缓冲区溢出是当前最紧迫的安全问题。要获得关于缓冲区溢出的更多信息，请访问Http:/ Telnet的拒绝服务攻击 Windows中的Telnet一直以来都是网络管理员们最喜爱的网络实用工具之一，但是一个新的漏洞表明，在Windows2000中Telnet在守护其进程时，在已经被初始化的会话还未被复位的情况下很容易受到一种普通的拒绝服务攻击。Telnet连接后，在初始化的对话还未被

27、复位的情况下，在一定的时间间隔之后，此时如果连接用户还没有提供登录的用户名及密码，Telnet的对话将会超时。直到用户输入一个字符之后连接才会被复位。如果恶意用户连接到Windows2000的Telnet守护进程中，并且对该连接不进行复位的话，他就可以有效地拒绝其他的任何用户连接该Telnet服务器，主要是因为此时Telnet的客户连接数的最大值是1。在此期间任何其他试图连接该Telnet服务器的用户都将会收到如下错误信息： Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed co

28、nnection 察看“列出当前用户”选项时并不会显示超时的会话，因为该会话还没有成功地通过认证。 Windows NT的TCP port 3389存在漏洞 Windows NT Server 4.0 终端服务器版本所作的 DoS 攻击。这个安全性弱点让远端使用者可以迅速的耗尽 Windows NT Terminal Server 上所有可用的内存，造成主机上所有登陆者断线，并且无法再度登入。 说明： 1. Windows NT Server 4.0 终端服务器版本在 TCP port 3389 监听终端连接 (terminal connection)，一旦某个 TCP 连接连上这个端口, 终

29、端服务器会开始分配系统资源，以处理新的客户端连接，并作连接的认证工作。 2. 此处的漏洞在于：在认证工作完成前，系统需要拨出相当多的资源去处理新的连 接，而系统并未针对分配出去的资源作节制。因此远端的攻击者可以利用建立大 量 TCP 连接到 port 3389 的方法，造成系统存储体配置达到饱和。 3. 此时服务器上所有使用者连接都会处于超时状态，而无法继续连接到服务器上，远端攻击者仍能利用一个仅耗用低频宽的程式，做出持续性的攻击，让此 服务器处於最多记忆体被耗用的状态，来避免新的连接继续产生。 4. 在国外的测试报告中指出，长期持续不断针对此项弱点的攻击，甚至可以导致服务器持续性当机，除非重新开机，服务器将无法再允许新连接的完成。