繁體中文当前位置: 首页 > 图文教程 > 网络安全 > 安全产品 > 如何突破各种防火墙的防护
- 安全产品
- ARP攻击解决方案 ARP卫士防范效果测试
- 微软Forefront Client Security概述 Microsoft
- 128M内存如何安装并使用卡巴斯基7.0
- 为Solaris服务器配置款安全的防火墙
- 巧用Tcpreplay让攻击流量瞒天过海
- 15款免费好用的安全软件推荐
- 六款免费杀毒软件对比测试
- 6种在线杀毒扫描软件大比拼
- 网管秘籍 审核网络安全的十大必备工具
- 超级巡警2008试用:专杀高危流行病毒
- 6款文件加密软件残酷测试
- 企业选购指南:国内防火墙系统大比拼
- 2008年初优秀安全软件大比拼
- 病毒精准查杀“超级巡警”防病毒功能评测
- 企业内网安全产品选型问题
- ESETNOD32安全套装的使用
- 网络安全的两个产品方案:防火墙和免疫墙
- 判断Web安全网关的性能
- 移动硬盘的数据安全问题
- 金山与索尼影视结盟 借终结者4推娱乐杀毒
安全产品 中的 如何突破各种防火墙的防护
出处:互联网 整理: 软晨网(RuanChen.com) 发布: 2009-10-29 浏览: 69 ::
收藏到网摘: n/a
一 防火墙基本原理
首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。
│ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │
防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。
说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,他的形式一般是一连串的如下规则:
1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的动作
2 deny ...........(deny就是拒绝。。)
3 nat ............(nat是地址转换。后面说)
防火墙在网络层(包括以下的炼路层)接受到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。
但是,不同的防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说说可能的攻击。
二 攻击包过滤防火墙
包过滤防火墙是最简单的一种了,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。他根据数据包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤!!很容易受到如下攻击:
1 ip 欺骗攻击:
这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。如:外部攻击者,将他的数据报源地址改为内部网络地址,防火墙看到是合法地址就放行了:)。可是,如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了:(
2 d.o.s拒绝服务攻击
简单的包过滤防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不过这样攻击还很少的。!
3 分片攻击
这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。
这样,攻击者就�
评论 (0) All
