網(wǎng)絡(luò)安全知識.doc

網(wǎng)絡(luò)安全知識 拒絕服務(wù)攻擊BIOS控制計算機安全黑客突破防火墻常用的幾種技術(shù)妙用Windows神秘的類標識符部署防火墻策略的十六條守則拒絕服務(wù)攻擊入侵攻擊 可以說當前是一個進行攻擊的黃金時期，很多的系統(tǒng)都很脆弱并且很容易受到攻擊，所以這是一個成為黑客的大好時代，可讓他們利用的方法和工具是如此之多！在此我們僅對經(jīng)常被使用的入侵攻擊手段做一討論。 【拒絕服務(wù)攻擊 】 拒絕服務(wù)攻擊（Denial of Service, DoS）是一種最悠久也是最常見的攻擊形式。嚴格來說，拒絕服務(wù)攻擊并不是某一種具體的攻擊方式，而是攻擊所表現(xiàn)出來的結(jié)果，最終使得目標系統(tǒng)因遭受某種程度的破壞而不能繼續(xù)提供正常的服務(wù)，甚至導(dǎo)致物理上的癱瘓或崩潰。具體的操作方法可以是多種多樣的，可以是單一的手段，也可以是多種方式的組合利用，其結(jié)果都是一樣的，即合法的用戶無法訪問所需信息。 通常拒絕服務(wù)攻擊可分為兩種類型。 第一種是使一個系統(tǒng)或網(wǎng)絡(luò)癱瘓。如果攻擊者發(fā)送一些非法的數(shù)據(jù)或數(shù)據(jù)包，就可以使得系統(tǒng)死機或重新啟動。本質(zhì)上是攻擊者進行了一次拒絕服務(wù)攻擊，因為沒有人能夠使用資源。以攻擊者的角度來看，攻擊的刺激之處在于可以只發(fā)送少量的數(shù)據(jù)包就使一個系統(tǒng)無法訪問。在大多數(shù)情況下，系統(tǒng)重新上線需要管理員的干預(yù)，重新啟動或關(guān)閉系統(tǒng)。所以這種攻擊是最具破壞力的，因為做一點點就可以破壞，而修復(fù)卻需要人的干預(yù)。 第二種攻擊是向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)。例如，如果一個系統(tǒng)無法在一分鐘之內(nèi)處理100個數(shù)據(jù)包，攻擊者卻每分鐘向他發(fā)送1000個數(shù)據(jù)包，這時，當合法用戶要連接系統(tǒng)時，用戶將得不到訪問權(quán)，因為系統(tǒng)資源已經(jīng)不足。進行這種攻擊時，攻擊者必須連續(xù)地向系統(tǒng)發(fā)送數(shù)據(jù)包。當攻擊者不向系統(tǒng)發(fā)送數(shù)據(jù)包時，攻擊停止，系統(tǒng)也就恢復(fù)正常了。此攻擊方法攻擊者要耗費很多精力，因為他必須不斷地發(fā)送數(shù)據(jù)。有時，這種攻擊會使系統(tǒng)癱瘓，然而大多多數(shù)情況下，恢復(fù)系統(tǒng)只需要少量人為干預(yù)。 這兩種攻擊既可以在本地機上進行也可以通過網(wǎng)絡(luò)進行。 拒絕服務(wù)攻擊類型 1 Ping of Death 根據(jù)TCP/IP的規(guī)范，一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節(jié)的包時，就是受到了Ping of Death攻擊，該攻擊會造成主機的宕機。 2 Teardrop IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段(或者更多)數(shù)據(jù)包來實現(xiàn)TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機器的重新啟動。 3 Land 攻擊者將一個包的源地址和目的地址都設(shè)置為目標主機的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。 4 Smurf 該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求(如ICMP回應(yīng)請求)的包，并且將源地址偽裝成想要攻擊的主機地址。子網(wǎng)上所有主機都回應(yīng)廣播包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。 5 SYN flood 該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYN ACK后并不回應(yīng)，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。 6 CPU Hog 一種通過耗盡系統(tǒng)資源使運行NT的計算機癱瘓的拒絕服務(wù)攻擊，利用Windows NT排定當前運行程序的方式所進行的攻擊。 7 Win Nuke 是以拒絕目的主機服務(wù)為目標的網(wǎng)絡(luò)層次的攻擊。攻擊者向受害主機的端口139，即netbios發(fā)送大量的數(shù)據(jù)。因為這些數(shù)據(jù)并不是目的主機所需要的，所以會導(dǎo)致目的主機的死機。 8 RPC Locator 攻擊者通過telnet連接到受害者機器的端口135上，發(fā)送數(shù)據(jù)，導(dǎo)致CPU資源完全耗盡。依照程序設(shè)置和是否有其他程序運行，這種攻擊可以使受害計算機運行緩慢或者停止響應(yīng)。無論哪種情況，要使計算機恢復(fù)正常運行速度必須重新啟動。 分布式拒絕服務(wù)攻擊 分布式拒絕服務(wù)攻擊（DDoS）是攻擊者經(jīng)常采用而且難以防范的攻擊手段。DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當攻擊目標CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了 目標對惡意攻擊包的消化能力加強了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但我的主機與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包，這樣一來攻擊就不會產(chǎn)生什么效果。所以分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運而生了。如果用一臺攻擊機來攻擊不再能起作用的話，攻擊者就使用10臺、100臺攻擊機同時攻擊。 DDoS就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者。 高速廣泛連接的網(wǎng)絡(luò)也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時代時，黑客占領(lǐng)攻擊用的傀儡機時，總是會優(yōu)先考慮離目標網(wǎng)絡(luò)距離近的機器，因為經(jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別的，大城市之間更可以達到2.5G的連接，這使得攻擊可以從更遠的地方或者其他城市發(fā)起，攻擊者的傀儡機位置可以在分布在更大的范圍，選擇起來更靈活了。 一個比較完善的DDoS攻擊體系分成四大部分： 攻擊者所在機 控制機（用來控制傀儡機） 傀儡機 受害者 先來看一下最重要的控制機和傀儡機：它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別，對受害者來說，DDoS的實際攻擊包是從攻擊傀儡機上發(fā)出的，控制機只發(fā)布命令而不參與實際的攻擊。對控制機和傀儡機，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，只是一旦黑客連接到它們進行控制，并發(fā)出指令的時候，攻擊傀儡機就成為害人者去發(fā)起攻擊了。 為什么黑客不直接去控制攻擊傀儡機，而要從控制傀儡機上轉(zhuǎn)一下呢？。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到，而攻擊者使用的傀儡機越多，他實際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機器后，高水平的攻擊者會首先做兩件事：1.考慮如何留好后門，2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較初級的黑客會不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反，真正的好手會挑有關(guān)自己的日志項目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機。但是在攻擊傀儡機上清理日志實在是一項龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對這個任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機弄得不是很干凈，通過它上面的線索找到了控制它的上一級計算機，這上級的計算機如果是黑客自己的機器，那么他就會被揪出來了。但如果這是控制用的傀儡機的話，黑客自身還是安全的。控制傀儡機的數(shù)目相對很少，一般一臺就可以控制幾十臺攻擊機，清理一臺計算機的日志對黑客來講就輕松多了，這樣從控制機再找到黑客的可能性也大大降低。 拒絕服務(wù)攻擊工具 Targa 可以進行8種不同的拒絕服務(wù)攻擊，作者是Mixter，可以在url/url和/url網(wǎng)站下載。Mixter把獨立的dos攻擊代碼放在一起，做出一個易用的程序。攻擊者可以選擇進行單個的攻擊或嘗試所有的攻擊，直到成功為止。 FN2K DDOS工具?？梢钥醋魇荰raga加強的程序。TFN2K運行的DOS攻擊與Traga相同，并增加了5種攻擊。另外，它是一個DDOS工具，這意味著它可以運行分布模式，即Internet上的幾臺計算機可以同時攻擊一臺計算機和網(wǎng)絡(luò)。Trinoo DDOS工具，是發(fā)布最早的主流工具，因而功能上與TFN2K比較不是那么強大。Trinoo使用tcp和udp，因而如果一個公司在正常的基礎(chǔ)上用掃描程序檢測端口，攻擊程序很容易被檢測到。 Stacheldraht Stacheldraht是另一個DDOS攻擊工具，它結(jié)合了TFN與trinoo的特點，并添加了一些補充特征，如加密組件之間的通信和自動更新守護進程。用BIOS控制計算機安全縱觀市場上的安全產(chǎn)品，從網(wǎng)絡(luò)防火墻到各種網(wǎng)絡(luò)加密、個人數(shù)字簽證以及早期硬盤鎖，均未能對個人計算機本身進行實質(zhì)性的保護。這些安全機制大都基于這樣一種原理:利用一個軟件，輸入一個特定的密碼，經(jīng)過驗證后即可獲得合法身份，從而實現(xiàn)各種操作，如購物、收發(fā)公文、瀏覽甚至修改機密數(shù)據(jù)。眾所周知，這種基于純密碼的機制是很脆弱的，所以，許多關(guān)鍵行業(yè)和部門都采用了軟、硬結(jié)合的方式，如設(shè)立各種Smart卡認證機制。在銀行工作的職工，每人都有一張代表自己電子身份的IC卡，每天上班，必須先刷卡才能進入銀行的業(yè)務(wù)系統(tǒng)。這種機制的安全性大大提高了，但對于個人或普通企業(yè)用計算機，這種機制成本太高。本文從BIOS工作原理出發(fā)，提出一種安全性高、全新的計算機安全保護機制。一、原理BIOS是計算機架構(gòu)中最為底層的軟件。在PC一加電時，首先執(zhí)行的就是它，它負責對計算機進行自檢和初始化，在檢查PC各部件都正常后再由它引導(dǎo)操作系統(tǒng)，如DOS、Windows等。如果一臺PC沒有BIOS，即無法開機，成了廢鐵一堆。而且BIOS一般是不可以相互替代的，只有同一個廠家同一型號的主板，其BIOS才可以互換。本機制的基本原理就是將PC中的BIOS從主機中抽出，存到一個帶加密的外部設(shè)備中，如USB鑰匙盤等，沒有該盤就不能開啟計算機;又由于外部設(shè)備是加密的，即使有含BIOS的USB鑰匙盤，但不知道密碼也不能開機，從而實現(xiàn)計算機的保護。這種帶加密的鑰匙盤由于各自密碼或加密算法不同，也避免了使用同型號BIOS進行開機的可能。二、實現(xiàn)BIOS儲存在計算機主機板的一種IC芯片(通常是FLASH)中，它有兩個主要的組成部分，即BootBlock段和主體BIOS。BootBlock段是不壓縮的且存放于固定的地址空間，它是計算機開機時首先執(zhí)行的部分。它主要負責對計算機硬件做最基本、最簡單的初始化，而后解壓縮主體BIOS的其他模塊，并一一執(zhí)行，其流程如圖1所示。由于BootBlock的這一特點，無需將BootBlock段抽出至外部設(shè)備中，反而要利用它的初始化能力以啟動與外部設(shè)備如USB盤的通信。但必須對BootBlock段加以修改，以實現(xiàn)對USB鑰匙盤的解密、主體BIOS的讀入過程，即在檢查BIOS校驗和之前，從鍵盤讀取用戶的密碼，并將該密碼通過一定的運算方法加密，并發(fā)往USB接口，在USB鑰匙盤收到該密碼后，允許內(nèi)存的BIOS數(shù)據(jù)可讀。修改后的BootBlock段流程。這樣經(jīng)過修改后，原主機板中存儲BIOS的FLASH只存儲修改過的BootBlock段代碼，不再有主體BIOS。同時不再采用FLASH芯片，直接使用一次性寫入的PROM，避免其他軟件或病毒對該區(qū)域代碼的修改。對于具體的加密算法和密碼認證機制，不同的制造商可以選擇不同的方式，如可以將主機板上具有惟一性的參數(shù)加入算法中，以實現(xiàn)一個主機板只有一套USB鑰匙盤相對應(yīng)，等等。USB鑰匙盤的實現(xiàn)，和市面上通常所說的軟件狗，其原理是一樣的，只是這里說的USB鑰匙盤的儲存容量要求相對大一些，至少要256KB以上。當然也可以不使用USB鑰匙盤，而利用一些IC封裝的CPU卡或SIM卡，做成LPT或COM接口的設(shè)備，如北京握奇公司就提供串行的SIM IC，只需要稍加點簡單的電路就可以實現(xiàn)與COM口的通信。其原理和USB鑰匙盤一樣，只是使用的通信接口不同而已。三、擴展前面所說的機制已經(jīng)可以實現(xiàn)計算機安全保護了，但為了增加實用性，還需要做一些簡單的擴展，以提高破譯的代價。擴展一是使用IDE的安全特性?，F(xiàn)代計算機BIOS都已經(jīng)支持IDE加密(AMI和AWARD BIOS都有此功能)，在實際使用過程中可結(jié)合該功能。該功能是對IDE硬盤進行加密，在BIOS開機階段要求輸入正確的密碼，否則該硬盤不可以使用。在沒有通過密碼驗證的情況下，BIOS根本不能正確識別硬盤的設(shè)備類型，OS更不知道該硬盤的存在，也就無法使用或破壞硬盤中原有的數(shù)據(jù)。擴展二是修改系統(tǒng)BIOS，在BIOS中將硬盤參數(shù)，如分區(qū)表等備份到USB鑰匙盤。做過BIOS開發(fā)的工程師知道，系統(tǒng)開機時首先執(zhí)行的是BIOS，系統(tǒng)關(guān)機時最后執(zhí)行的也是BIOS(意外斷電除外，無論是操作系統(tǒng)關(guān)機還是按Power Button關(guān)機，都有對應(yīng)的SMI處理程序)。利用BIOS的這個特性，在每次開機時，BIOS負責從USB鑰匙盤中讀取硬盤參數(shù)并恢復(fù)到硬盤中，在關(guān)機前，BIOS將硬盤參數(shù)備份到USB鑰匙盤，同時破壞掉硬盤中該區(qū)域的數(shù)據(jù)。這樣，即使將該硬盤安裝到別的系統(tǒng)中，沒有對應(yīng)的鑰匙盤也不能使用黑客突破防火墻常用的幾種技術(shù)一、_blank防火墻基本原理 首先，我們需要了解一些基本的_blank防火墻實現(xiàn)原理。_blank防火墻目前主要分包過濾，和狀態(tài)檢測的包過濾，應(yīng)用層代理_blank防火墻。但是他們的基本實現(xiàn)都是類似的。 -路由器-網(wǎng)卡_blank防火墻網(wǎng)卡-內(nèi)部網(wǎng)絡(luò) _blank防火墻一般有兩個以上的網(wǎng)絡(luò)卡，一個連到外部(router)，另一個是連到內(nèi)部網(wǎng)絡(luò)。當打開主機網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能時，兩個網(wǎng)卡間的網(wǎng)絡(luò)通訊能直接通過。當有_blank防火墻時，他好比插在網(wǎng)卡之間，對所有的網(wǎng)絡(luò)通訊進行控制。 說到訪問控制，這是_blank防火墻的核心了：)，_blank防火墻主要通過一個訪問控制表來判斷的，他的形式一般是一連串的如下規(guī)則： 1 accept from+ 源地址，端口 to+ 目的地址，端口+ 采取的動作 2 deny .(deny就是拒絕。) 3 nat .(nat是地址轉(zhuǎn)換。后面說) _blank防火墻在網(wǎng)絡(luò)層(包括以下的煉路層)接受到網(wǎng)絡(luò)數(shù)據(jù)包后，就從上面的規(guī)則連表一條一條地匹配，如果符合就執(zhí)行預(yù)先安排的動作了！如丟棄包。 但是，不同的_blank防火墻，在判斷攻擊行為時，有實現(xiàn)上的差別。下面結(jié)合實現(xiàn)原理說說可能的攻擊。 二、攻擊包過濾_blank防火墻 包過濾_blank防火墻是最簡單的一種了，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)_blank防火墻的規(guī)則表，來檢測攻擊行為。他根據(jù)數(shù)據(jù)包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾！很容易受到如下攻擊： 1 ip 欺騙攻擊： 這種攻擊，主要是修改數(shù)據(jù)包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來騙過_blank防火墻的檢測。如：外部攻擊者，將他的數(shù)據(jù)報源地址改為內(nèi)部網(wǎng)絡(luò)地址，_blank防火墻看到是合法地址就放行了：)?？墒?，如果_blank防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了：( 2 d.o.s拒絕服務(wù)攻擊 簡單的包過濾_blank防火墻不能跟蹤 tcp的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦_blank防火墻受到d.o.s攻擊，他可能會忙于處理，而忘記了他自己的過濾功能。：)你就可以饒過了，不過這樣攻擊還很少的。！ 3 分片攻擊 這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序，但是，只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾_blank防火墻時，_blank防火墻只根據(jù)第一個分片包的Tcp信息判斷是否允許通過，而其他后續(xù)的分片不作_blank防火墻檢測，直接讓它們通過。 這樣，攻擊者就可以通過先發(fā)送第一個合法的IP分片，騙過_blank防火墻的檢測，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透_blank防火墻，直接到達內(nèi)部網(wǎng)絡(luò)主機，從而威脅網(wǎng)絡(luò)和主機的安全。 4 木馬攻擊 對于包過濾_blank防火墻最有效的攻擊就是木馬了，一但你在內(nèi)部網(wǎng)絡(luò)安裝了木馬，_blank防火墻基本上是無能為力的。 原因是：包過濾_blank防火墻一般只過濾低端口(1-1024)，而高端口他不可能過濾的(因為，一些服務(wù)要用到高端口，因此_blank防火墻不能關(guān)閉高端口的)，所以很多的木馬都在高端口打開等待，如冰河，subseven等。 但是木馬攻擊的前提是必須先上傳，運行木馬，對于簡單的包過濾_blank防火墻來說，是容易做的。這里不寫這個了。大概就是利用內(nèi)部網(wǎng)絡(luò)主機開放的服務(wù)漏洞。 早期的_blank防火墻都是這種簡單的包過濾型的，到現(xiàn)在已很少了，不過也有。現(xiàn)在的包過濾采用的是狀態(tài)檢測技術(shù)，下面談?wù)劆顟B(tài)檢測的包過濾_blank防火墻。三、攻擊狀態(tài)檢測的包過濾 狀態(tài)檢測技術(shù)最早是checkpoint提出的，在國內(nèi)的許多_blank防火墻都聲稱實現(xiàn)了狀態(tài)檢測技術(shù)。 可是：)很多是沒有實現(xiàn)的。到底什么是狀態(tài)檢測？ 一句話，狀態(tài)檢測就是從tcp連接的建立到終止都跟蹤檢測的技術(shù)。 原先的包過濾，是拿一個一個單獨的數(shù)據(jù)包來匹配規(guī)則的。可是我們知道，同一個tcp連接，他的數(shù)據(jù)包是前后關(guān)聯(lián)的，先是syn包，-數(shù)據(jù)包=fin包。數(shù)據(jù)包的前后序列號是相關(guān)的。 如果割裂這些關(guān)系，單獨的過濾數(shù)據(jù)包，很容易被精心夠造的攻擊數(shù)據(jù)包欺騙！如nmap的攻擊掃描，就有利用syn包，fin包，reset包來探測_blank防火墻后面的網(wǎng)絡(luò)。！ 相反，一個完全的狀態(tài)檢測_blank防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個連接的狀態(tài)信息(地址，port，選項。),后續(xù)的屬于同一個連接的數(shù)據(jù)包，就不需要在檢測了。直接通過。而一些精心夠造的攻擊數(shù)據(jù)包由于沒有在內(nèi)存登記相應(yīng)的狀態(tài)信息，都被丟棄了。這樣這些攻擊數(shù)據(jù)包，就不能饒過_blank防火墻了。 說狀態(tài)檢測必須提到動態(tài)規(guī)則技術(shù)。在狀態(tài)檢測里，采用動態(tài)規(guī)則技術(shù)，原先高端口的問題就可以解決了。實現(xiàn)原理是：平時，_blank防火墻可以過濾內(nèi)部網(wǎng)絡(luò)的所有端口(1-65535),外部攻擊者難于發(fā)現(xiàn)入侵的切入點，可是為了不影響正常的服務(wù)，_blank防火墻一但檢測到服務(wù)必須開放高端口時，如(ftp協(xié)議，irc等)，_blank防火墻在內(nèi)存就可以動態(tài)地天加一條規(guī)則打開相關(guān)的高端口。等服務(wù)完成后，這條規(guī)則就又被_blank防火墻刪除。這樣，既保障了安全，又不影響正常服務(wù)，速度也快。！ 一般來說，完全實現(xiàn)了狀態(tài)檢測技術(shù)_blank防火墻，智能性都比較高，一些掃描攻擊還能自動的反應(yīng)，因此，攻擊者要很小心才不會被發(fā)現(xiàn)。 但是，也有不少的攻擊手段對付這種_blank防火墻的。 1 協(xié)議隧道攻擊 協(xié)議隧道的攻擊思想類似與VPN的實現(xiàn)原理，攻擊者將一些惡意的攻擊數(shù)據(jù)包隱藏在一些協(xié)議分組的頭部，從而穿透_blank防火墻系統(tǒng)對內(nèi)部網(wǎng)絡(luò)進行攻擊。 例如，許多簡單地允許ICMP回射請求、ICMP回射應(yīng)答和UDP分組通過的_blank防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。Loki和lokid(攻擊的客戶端和服務(wù)端)是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個系統(tǒng)上安裝上lokid服務(wù)端，而后攻擊者就可以通過loki客戶端將希望遠程執(zhí)行的攻擊命令(對應(yīng)IP分組)嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端lokid，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。由于許多_blank防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過_blank防火墻的認證，順利地到達攻擊目標主機下面的命令是用于啟動lokid服務(wù)器程序： lokid-p CI Cvl loki客戶程序則如下啟動： loki Cd91(攻擊目標主機)-p CI Cv1 Ct3 這樣，lokid和loki就聯(lián)合提供了一個穿透_blank防火墻系統(tǒng)訪問目標系統(tǒng)的一個后門。 2 利用FTP-pasv繞過_blank防火墻認證的攻擊 FTP-pasv攻擊是針對_blank防火墻實施入侵的重要手段之一。目前很多_blank防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個包中尋找227這個字符串。如果發(fā)現(xiàn)這種包，將從中提取目標地址和端口，并對目標地址加以驗證，通過后，將允許建立到該地址的TCP連接。攻擊者通過這個特性，可以設(shè)法連接受_blank防火墻保護的服務(wù)器和服務(wù)。3 反彈木馬攻擊 反彈木馬是對付這種_blank防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時地連接外部攻擊者控制的主機，由于連接是從內(nèi)部發(fā)起的，_blank防火墻(任何的_blank防火墻)都認為是一個合法的連接，因此基本上_blank防火墻的盲區(qū)就是這里了。_blank防火墻不能區(qū)分木馬的連接和合法的連接。 但是這種攻擊的局限是：必須首先安裝這個木馬！所有的木馬的第一步都是關(guān)鍵！四、攻擊代理 代理是運行在應(yīng)用層的_blank防火墻，他實質(zhì)是啟動兩個連接，一個是客戶到代理，另一個是代理到目的服務(wù)器。 實現(xiàn)上比較簡單，和前面的一樣也是根據(jù)規(guī)則過濾。由于運行在應(yīng)用層速度比較慢,攻擊代理的方法很多。 這里就以wingate為例，簡單說說了。(太累了) WinGate是目前應(yīng)用非常廣泛的一種Windows95/NT代理_blank防火墻軟件，內(nèi)部用戶可以通過一臺安裝有WinGate的主機訪問外部網(wǎng)絡(luò)，但是它也存在著幾個安全脆弱點。黑客經(jīng)常利用這些安全漏洞獲得WinGate的非授權(quán)Web、Socks和Telnet的訪問，從而偽裝成WinGate主機的身份對下一個攻擊目標發(fā)動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。導(dǎo)致WinGate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實際情況對WinGate代理_blank防火墻軟件進行合理的設(shè)置，只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運行，這就給攻擊者可乘之機。 1 非授權(quán)Web訪問 某些WinGate版本(如運行在NT系統(tǒng)下的2.1d版本)在誤配置情況下，允許外部主機完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用WinGate主機來對Web服務(wù)器發(fā)動各種Web攻擊( 如CGI的漏洞攻擊等)，同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。 檢測 檢測WinGate主機是否有這種安全漏洞的方法如下： 1) 以一個不會被過濾掉的連接(譬如說撥號連接)連接到因特網(wǎng)上。 2) 把瀏覽器的代理服務(wù)器地址指向待測試的WinGate主機。 如果瀏覽器能訪問到因特網(wǎng)，則WinGate主機存在著非授權(quán)Web訪問漏洞。 2 非授權(quán)Socks訪問 在WinGate的缺省配置中，Socks代理(1080號Tcp端口)同樣是存在安全漏洞。與打開的Web代理(80號Tcp端口)一樣，外部攻擊者可以利用Socks代理訪問因特網(wǎng)。 防范 要防止攻擊WinGate的這個安全脆弱點，管理員可以限制特定服務(wù)的捆綁。在多宿主(multi homed)系統(tǒng)上，執(zhí)行以下步驟以限定如何提供代理服務(wù)。 1選擇Socks或WWWProxyServer屬性。 2選擇Bindings標簽。 3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按鈕，并指定本W(wǎng)inGate服務(wù)器的內(nèi)部接口。 非授權(quán)Telnet訪問 它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的inGate服務(wù)器的Telnet服務(wù)，攻擊者可以使用別人的主機隱藏自己的蹤跡，隨意地發(fā)動攻擊。 檢測 檢測WinGate主機是否有這種安全漏洞的方法如下： 1.使用telnet嘗試連接到一臺WinGate服務(wù)器。 roothappy/tmp#telnet91 Trying91. Connectedto91. Escapecharacteris. Wingate 2.如果接受到如上的響應(yīng)文本，那就輸入待連接到的網(wǎng)站。 3.如果看到了該新系統(tǒng)的登錄提示符，那么該服務(wù)器是脆弱的。 ConnectedtohostConnected SunOS5.6 Login: 對策 防止這種安全脆弱點的方法和防止非授權(quán)Socks訪問的方法類似。在WinGate中簡單地限制特定服務(wù)的捆綁就可以解決這個問題。一般來說，在多宿主(multihomed)系統(tǒng)管理員可以通過執(zhí)行以下步驟來完成： 1.選擇TelnetSever屬性。 2.選擇Bindings標簽。 3.按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按鈕，并指定本W(wǎng)inGate服務(wù)器的內(nèi)部接口。五、后話 有_blank防火墻的攻擊不單是上面的一點，我有什么寫的不對的，大家指正。 一直以來，黑客都在研究攻擊_blank防火墻的技術(shù)和手段，攻擊的手法和技術(shù)越來越智能化和多樣化。但是就黑客攻擊_blank防火墻的過程上看，大概可以分為三類攻擊。 第一類攻擊_blank防火墻的方法是探測在目標網(wǎng)絡(luò)上安裝的是何種_blank防火墻系統(tǒng)并且找出此_blank防火墻系統(tǒng)允許哪些服務(wù)。我們叫它為對_blank防火墻的探測攻擊。 第二類攻擊_blank防火墻的方法是采取地址欺騙、TCP序號攻擊等手法繞過_blank防火墻的認證機制，從而 對_blank防火墻和內(nèi)部網(wǎng)絡(luò)破壞。 第三類攻擊_blank防火墻的方法是尋找、利用_blank防火墻系統(tǒng)實現(xiàn)和設(shè)計上的安全漏洞，從而有針對性地發(fā)動攻擊。這種攻擊難度比較大，可是破壞性很大。妙用Windows神秘的類標識符每個公民都有自己的身份證和身份證號。同樣，Windows中的每一個系統(tǒng)級應(yīng)用程序（如“我的電腦”、Internet Explorer等）也都有惟一的類標識符與之相對應(yīng)，大部分注冊過的后綴名也有自己的文件標識符。有些朋友不禁要問：這些文件標識符究竟有什么用呢？其實，理解文件標識符，不僅能讓我們快速進行系統(tǒng)優(yōu)化，還能輕松實現(xiàn)一些人無我有的個性化設(shè)置，心動了嗎？那么就請隨我一起來探索文件標識符吧！ 實例：巧用易容術(shù) 隱藏文件夾 1.讓文件夾搖身變成WAV文件 新建一個文件夾，把要隱藏的文件放入該文件夾中，然后將文件夾重命名為：yourname.wav.，這樣你會看到該文件夾的圖標變成了WAV文件的圖標，名稱是yourname.wav。雙擊它，執(zhí)行的不是進入文件夾，而是啟動“媒體播放器”，文件夾仿佛變成了聲音文件但卻提示打不開。別人一定會以為是受損的聲音文件。要想打開它，可直接選中并右擊該文件（其實是文件夾，實在是太像文件了），選擇“打開”即可。 2.把文件夾變成“網(wǎng)上鄰居” 上面的方法雖好，但右擊選擇“打開”就會讓自己的秘密現(xiàn)形，有沒有更好的招數(shù)呢？將要隱藏的文件夾改名為：網(wǎng)上鄰居.，回車后你將看到熟悉的“網(wǎng)上鄰居”圖標，雙擊后看一看，和桌面上的“網(wǎng)上鄰居”一模一樣。 為了偽裝得更巧妙，最好將系統(tǒng)默認的桌面“網(wǎng)上鄰居”圖標刪除掉，打開“注冊表編輯器”，找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace。此時就可以看到“網(wǎng)上鄰居”等系統(tǒng)圖標，根據(jù)需要刪除即可。 這樣桌面上就只剩下你自己創(chuàng)建的“網(wǎng)上鄰居”了。 3.破解被“易容”的文件夾 非常簡單，只要安裝了WinRAR，然后在被易容的文件夾上右擊，所有偽裝就被輕松地識破了。接著雙擊打開任意一個RAR壓縮包，在地址條中定位到偽裝文件夾的上級目錄（如果是C:test文件夾，就定位到C盤根目錄），你會在下面的文件列表中看到偽裝文件夾（見圖2），選中它后按F2鍵，將文件夾名后面的標識符去掉即可。 小提示 ：國內(nèi)一些文件夾隱藏軟件用的就是這個原理，用同樣方法可以輕松將其破解。 認識類標識符 上面的易容術(shù)其實用到的是Windows中的文件標識符，其英文名稱是CLSID，也稱類標識符，位于注冊表的HKEY_LOCAL_MACHINESoftwareClassesCLSID下，通常由32個十六進制數(shù)構(gòu)成，其一般格式是“”。我們操作電腦時，會對系統(tǒng)程序名稱發(fā)出指令，Windows則通過對該程序的文件標識符識別而做出響應(yīng)。因此，文件標識符與系統(tǒng)程序是一一對應(yīng)的關(guān)系。 常用文件標識符 我的電腦 我的文檔 撥號網(wǎng)絡(luò) 控制面板 計劃任務(wù) 打印機 記事本 網(wǎng)絡(luò)鄰居 回收站 公文包 字體 Web 文件夾 實例：打造“我的電腦 2.0” 1.刪除無用項目 “我的電腦”中可能會有一些系統(tǒng)級程序（如Web文件夾、計劃任務(wù)等），平時很少用到它們，我們可以打開注冊表編輯器，找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerMyComputerNameSpace，其下有幾個類標識符，它們對應(yīng)的是在“我的電腦”中已有的系統(tǒng)級程序，右側(cè)窗格為對應(yīng)的系統(tǒng)級程序名稱，右擊不需要的項目選擇“刪除”即可。 小提示 ：Windows桌面也有不少系統(tǒng)級的圖標，不允許刪除，找HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerdesktopNameSpace，然后選擇并刪除不需要的項目即可。 WindowsXP的“我的電腦”添加了一項“在這臺計算機存儲的文件”，可以顯示電腦中各用戶存儲的文件和共享文件，這在一定程度上造成了系統(tǒng)的安全隱患，同時也泄漏了用戶隱私，想要刪除這項功能，可找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerMyComputerNameSpaceDelegateFolders，刪除“”項即可。 2.添加常用項目和文件夾 一般情況下，許多用戶經(jīng)常會用到“控制面板”中的“網(wǎng)絡(luò)和撥號連接”、”打印機”“用戶和密碼”、“管理工具”等，不如將它們直接移到“我的電腦”中，這樣用起來更順手。 首先，你可以在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerMyComputerNameSpace下新建名為“”和“”的項，完成后，在“我的電腦”中便會自動出現(xiàn)“網(wǎng)絡(luò)和撥號連接”、“打印機”這兩個新項。 不過，像“用戶和密碼”、“管理工具”等就沒那么容易添加了，因此，推薦你使用Shell Object Editor這款免費軟件（下載地址：urlhttp:/www.tropictech.de/software/shellobject/ShellObjectEditor_Install300.exe/url）。 第一步：安裝后啟動軟件，單擊“Create new”按鈕進入創(chuàng)建新項目向?qū)?，在“Shell Object Name”（外殼事件名稱）窗口第一個文本框中輸入“用戶和密碼”，在第二個文本框中可以輸入相關(guān)描述，比如：設(shè)置Windows的用戶和密碼。 第二步：單擊“下一步”按鈕，在“Select a funtion”（選擇功能）窗口點選“The ShellObject should behave like a program”（事件為程序），并在下面文本框中輸入“Control Userpasswords”（Windows XP請使用“Control Userpasswords2”），單擊“下一步”按鈕進入選擇圖標步驟，直接單擊按鈕會打開圖標選擇窗口。 第三步：接著進入