黑客大曝光第六周.ppt

黑客攻击与防范 第3部分　网络攻击 主要内容： 第9章 防火墙 9.1 防火墙概述 9.2 防火墙的识别 9.3 穿透防火墙扫描 9.4 数据包过滤 9.5 应用代理的弱点 第10章 拒绝服务攻击 10.1 常见的DoS攻击技术 10.2 针对DoS攻击的防范措施 第9章　防火墙 　　把Web服务器（或任何其它用于此目的的计算机），置于因特网上而不部署防火墙无异于自杀。同样，把防火墙的管理职责扔给网络管理员（更坏的情况是系统管理员）的常见决策也相当于自杀。网络管理员也许明白防火墙的技术内涵，不过他们很少亲历安全活动，并不了解黑客（至少在把本书读过几遍之前是这样）。其后果是防火墙有可能因为配置有误而漏洞百出，使攻击者能破门而入进入到网络中，造成严重的后果。防火墙成为信息高速公路上不可缺少的隔离墩。 9.1　防火墙概述 　　当前市场上主要有两类防火墙:应用代理（application proxy）和数据包过滤网关（packet filtering gateway）（或二者的某种混合产物）。尽管应用代理一般认为比数据包过滤网关安全，他们的限制特性和对性能的影响却使它们的适用场合局限于从公司内部向外的数据包流动，而不是从流入本公司的Web服务器的数据包（或DMZ）。相反，数据包过滤网关或者更为先进的有状态数据包过滤网关则能在许多具有高性能要求的较大机构中找到。 　　防火墙保护着无数的网络躲过窥探的眼睛和邪恶的破坏者，市场上每个防火墙产品几乎每年都有安全脆弱点被发现。如果不犯错误，从设计到配置再到维护都做得很好的防火墙差不多是无机可乘的。 9.2　防火墙的识别 　　几乎每种防火墙都会发出独特的电子“气味”。也就是说，凭借端口扫描，Firewalk工具和旗标攫取等技巧，攻击者能够有效地确定目标网络上几乎每个防火墙的类型、版本和规则。 ?直接扫描:制造网络噪音的技术 流行度:10 简单度:8 影响力:2 风险率: 7 　　查找防火墙最简单的方法就是对特定的默认端口执行扫描。市场上有些防火墙使用简单的端口扫描就会显露原形——你只需要知道应扫描那些端口。例：CheckPont的Firewall-1在256、257、258和259号TCP端口上监听（ Check Point NG在TCP端口18210、18211、18186、18190、18191和18192上监听），Microsoft的Proxy Server则通常在1080和1745号TCP端口上监听。知道这一点后，使用端口扫描程序来搜索这些类型的防火墙就轻而易举了。 直接扫描防范措施 检测 　　要准确的检测使用随机处理的端口扫描，你得精心调整每个端口扫描检测特征。 　　如果你使用的是UNIX版本的Firewall-1，难么可用Lance Spitzner编写的用语Firewall-1端口扫描检测的工具（/-lspitz/intrusion.html). 　　如果你使用的是Linux防火墙产品，比如众所周知的netfilter/iptables，你将有很多种监测工具可以选用，他们都可以帮助你发现那些制造网络噪音的攻击活动。IPPL就是一个这样的工具，它是一个在后台运行的防护进程，你可以通过设置这个守护进程某些参数的办法把可疑的数据包记载到日志里。 预防 　　为防止来自因特网的防火墙端口扫描，需要在防火墙之前的路由器上阻塞这些端口。如果这些路由器是由自己的ISP管理的，那就得跟他们联系以执行阻塞。 ?路由跟踪　流行度:10 简单度:8 影响力:2 风险率: 7 　　找出某个网络上的防火墙的不动生色的精妙方法是使用traceroute。可以使用UNIX的traceroute或Windows的tracert.exe找出到达目标主机的路径上的每一跳，并做些检测工作。LINUX的traceroute有一个-I选项，它指定发送ICMP数据包执行路径跟踪，这与默认发送UDP数据包的技巧不同。 　　如果本地主机和目标服务器之间的路由器对TTL已过期的数据包作出响应，那么上面的例子没有问题。但是有些路由器和防火墙设置成不返送ICMP TTL 已过期数据包（对于ICMP和UDP探测数据包都一样）。这种情况下所作推断不够科学。你能做得就是运行raceroute， 查看那一跳最后响应，然后推断它或者是真正的防火墙，或者至少是路径上开始阻塞路径跟踪数据包的第一个路由器。 路由跟踪对策 　　解决raceroute信息泄露的措施是限制尽可能多的防火墙和路由器对ICMP　TTL已过期数据包作出响应。然而这并非总是在你的控制之下，因为所涉及的路由器有许多可能是由你得ISP控制的，所以应该尽可能促使ISP采取行动。 检测 　　在边界上检测标准的traceroute