基于防火墻攻擊防范

1、摘要針對(duì)黑客防火墻攻擊的方法和原理，研究了幾種防范策略，為構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)安全體系提供了理論原理和方法。關(guān)鍵詞：防火墻 攻擊 IP欺騙 DDoS TCP NetFlow 防范策略ABSTRACTFirewall against hackers attack methods and principles of several prevention strategies for building security and stability of the network security system provides a theoretical principles and methods.K

2、eywords: firewall attack against DDoS TCP NetFlow IP strategy to deceive1. 前言防火墻是保護(hù)網(wǎng)絡(luò)安全的重要組成部分，它往往部署在網(wǎng)絡(luò)的要塞位置，但其本身也是一個(gè)軟件、軟硬件，以及訪問(wèn)策略相結(jié)合的實(shí)體。設(shè)計(jì)上的漏洞和使用上的錯(cuò)誤都會(huì)削弱防火墻的保護(hù)能力，也使得防火墻常常受到攻擊。文章列舉了一些防火墻攻擊的類(lèi)型和方法，著重分析了幾種常用的防范這些攻擊的解決方案。2. 常見(jiàn)的攻擊類(lèi)型和方法從目前看來(lái)，黑客的攻擊手法和技術(shù)越來(lái)越智能化和多樣化，但就攻擊過(guò)程上看，大概可以范圍3類(lèi)攻擊。第一類(lèi)是探測(cè)在目標(biāo)防火墻上安裝的是何種防火墻系

3、統(tǒng)并找出次防火墻系統(tǒng)允許那些服務(wù)。通常稱為對(duì)防火墻的探測(cè)攻擊。最常見(jiàn)的就是木馬攻擊。第二類(lèi)是采取地址欺騙、TCP序號(hào)攻擊等手法繞過(guò)防火墻的認(rèn)證機(jī)制，從而對(duì)防火墻和內(nèi)部網(wǎng)絡(luò)造成破壞。此類(lèi)攻擊方法比較多樣，常見(jiàn)的有IP欺騙攻擊、分片攻擊等，而會(huì)話劫持攻擊是結(jié)合了欺騙技術(shù)以及嗅探在內(nèi)的一種攻擊手段。第三類(lèi)是尋找、利用防火墻系統(tǒng)實(shí)現(xiàn)和設(shè)計(jì)上的安全漏洞，從而有針對(duì)性的發(fā)動(dòng)攻擊。這種攻擊難度比較大，可是破壞性很大。防火墻本質(zhì)上是一個(gè)操作系統(tǒng)，有其軟件和硬件，因此依然存在漏洞。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。3. 防止攻擊的方法3.1防控DDoS攻擊DDoS攻擊即拒絕服務(wù)攻擊。從現(xiàn)在和未來(lái)

4、看，防火墻都是抵御的重要組成部分，這是由防火墻在網(wǎng)絡(luò)拓?fù)涞奈恢煤桶缪莸慕巧珱Q定的，下面列舉防火前對(duì)付DoS/DDoS攻擊的集中有效防范方法。3.1.1基于狀態(tài)的資源控制，保護(hù)防火墻資源有些防火墻支持IP Inspect功能，對(duì)進(jìn)入防火墻的資料做嚴(yán)格的檢查，各種針對(duì)系統(tǒng)漏洞的攻擊包如Ping Of Death,TearDrop等，會(huì)自動(dòng)被系統(tǒng)過(guò)濾掉congress保護(hù)網(wǎng)絡(luò)。對(duì)防火墻來(lái)說(shuō)，資源是十分寶貴的，當(dāng)收到來(lái)自外來(lái)的DDos攻擊時(shí)，系統(tǒng)內(nèi)部的資源全部被攻擊流所占用，此時(shí)正常的資料報(bào)文肯定會(huì)受到影響?；跔顟B(tài)的資源控制回自動(dòng)監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)所有的連接狀態(tài)，當(dāng)有連接長(zhǎng)時(shí)間未得到應(yīng)答就處于半連接狀態(tài)，浪

5、費(fèi)系統(tǒng)資源，當(dāng)系統(tǒng)內(nèi)的半連接超過(guò)正常的范圍時(shí)，就有可能判斷是遭受了攻擊。防火墻基于狀態(tài)的資源控制能有效的控制這類(lèi)情況，具體體現(xiàn)在一下5點(diǎn)：控制連接、與半連接的超時(shí)時(shí)間；必要時(shí)，可以縮短半連接的超時(shí)時(shí)間，加速半連接的老化。限制系統(tǒng)各個(gè)協(xié)議的最大連接值，保證協(xié)議的連接總數(shù)不超過(guò)系統(tǒng)限制，在達(dá)到連接上限后刪除新建的連接。限制系統(tǒng)符合條件源/目的主機(jī)連接數(shù)量。針對(duì)源或目的IP地址做流限制，Inspect可以限制每個(gè)IP地址的資源，用戶在資源控制的范圍內(nèi)時(shí)，使用并不會(huì)受到影響，但當(dāng)用戶感染蠕蟲(chóng)病毒或發(fā)送攻擊報(bào)文等情況時(shí)，針對(duì)流的資源控制可以限制每個(gè)IP地址發(fā)送的連接數(shù)目，超過(guò)限制的連接數(shù)目將被丟棄，這種

6、做法可以有效的抑制病毒產(chǎn)生攻擊的效果，避免其他正常使用的用戶受到影響。單位時(shí)間內(nèi)如果穿過(guò)防火墻的“同類(lèi)”數(shù)據(jù)流超過(guò)門(mén)限值后，可以設(shè)定對(duì)該種類(lèi)的數(shù)據(jù)流進(jìn)行阻斷，對(duì)于防止IP，ICMP，UDP等非連接的Flood攻擊具有良好的防御效果。3.1.2智能TCP代理有效防范SYN FloodSYN Flood是DDoS攻擊中危害性最強(qiáng)，也是最難防范的一種。這種攻擊利用TCP協(xié)議的缺陷，發(fā)送大量的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡。防火墻工作時(shí)，并不會(huì)立即開(kāi)啟TCP代理，只有當(dāng)網(wǎng)絡(luò)中的TCP半連接達(dá)到啟動(dòng)警戒線時(shí)，正常TCP Intercept會(huì)自動(dòng)啟動(dòng)，當(dāng)網(wǎng)絡(luò)中的TCP半連接達(dá)到入侵警戒線時(shí)，系統(tǒng)

7、進(jìn)入入侵模式，此時(shí)新連接回覆蓋舊的TCP連接；此后，系統(tǒng)全連接數(shù)增多，半連接數(shù)減小，當(dāng)半連接數(shù)降到入侵警戒線以下時(shí)，系統(tǒng)退出入侵模式。如果此時(shí)停止攻擊，系統(tǒng)半連接數(shù)逐漸降到TCP代理啟動(dòng)警戒線以下，智能TCP代理模塊停止工作。通過(guò)智能TCP代理可以有效防止SYN Flood攻擊，保證網(wǎng)絡(luò)資源安全。3.1.3利用NetFlow對(duì)DoS攻擊和病毒監(jiān)測(cè)支持NetFlow功能的防火墻，將網(wǎng)絡(luò)交換中的資料包識(shí)別為流的方式加以記錄，并封裝為UDP資料包發(fā)送到分析器上，這樣就為網(wǎng)絡(luò)管理、流量分析和監(jiān)控、入侵檢測(cè)等提供了豐富的資料來(lái)源，即可以再不影響轉(zhuǎn)發(fā)性能的同時(shí)記錄、發(fā)送NetFlow信息，并能夠利用一些流

8、量分析工具對(duì)接收到的資料進(jìn)行分析、處理，從而可以統(tǒng)計(jì)出每天流量的TOP TEN或者業(yè)務(wù)的TOP TEN等，以此作為標(biāo)準(zhǔn)，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常時(shí)，就可以可以利用NetFlow有效的查找、定位DDoS攻擊的來(lái)源。3.2防范溢出策略1目前，大多數(shù)的防火墻系統(tǒng)都是針對(duì)包過(guò)濾規(guī)則進(jìn)行安全防御的，這種類(lèi)型的防火墻在高也只能工作在傳輸層，而溢出程序的shellcode是放在應(yīng)用層的，因此對(duì)這類(lèi)攻擊就無(wú)能為力了。對(duì)這種漏洞的解決方案如下：3.2.1對(duì)希望保護(hù)的主機(jī)實(shí)行“單獨(dú)開(kāi)放端口”訪問(wèn)控制策略所謂“單獨(dú)開(kāi)放窗口”就是指只開(kāi)放需要提供的端口，對(duì)于不需要提供服務(wù)的端口實(shí)行過(guò)濾策略。遠(yuǎn)程溢出的攻擊實(shí)施流程如圖3-2

9、-1所示。圖3-2-1 遠(yuǎn)程溢出的攻擊實(shí)施流程圖使用“單獨(dú)開(kāi)放端口”策略的解決方案對(duì)整個(gè)遠(yuǎn)程溢出過(guò)程所發(fā)生的前三部都是無(wú)能為力的，但第四步能夠有效地阻止黑客連上有缺陷主機(jī)的被溢出端口，從而切斷了黑客的惡意攻擊手段。這種方案的優(yōu)點(diǎn)是操作簡(jiǎn)單，一般的網(wǎng)絡(luò)/系統(tǒng)管理員就能完成相關(guān)的操作；而缺點(diǎn)就是對(duì)溢出后的使用端口復(fù)用進(jìn)行控制的Exploits就無(wú)能為力了，對(duì)現(xiàn)實(shí)中的溢出后使用反向連接的Exploits也是無(wú)能為力的，不能阻止DoS方面的溢出攻擊。3.2.2使用應(yīng)用層防火墻系統(tǒng)應(yīng)用層中的HTTP協(xié)議防火墻的基本防御原理與特點(diǎn)是黨服務(wù)端接收到一個(gè)發(fā)送至TCP80端口的數(shù)據(jù)包時(shí)，首先就會(huì)將該包轉(zhuǎn)移至Se

10、cureS，SecureS就會(huì)對(duì)該包進(jìn)行分析并解碼該包的應(yīng)用層數(shù)據(jù)將得到的數(shù)據(jù)與本身制定的規(guī)則進(jìn)行數(shù)據(jù)配對(duì)，一旦發(fā)現(xiàn)條件相符的數(shù)值就會(huì)執(zhí)行規(guī)則指定的相應(yīng)操作。這種解決方案的優(yōu)點(diǎn)是能有效的切斷一切來(lái)自應(yīng)用層的攻擊（如溢出、SQL、注入等）；而缺點(diǎn)是因需要安裝在服務(wù)器上，所以會(huì)占用一定的系統(tǒng)資源。3.2.3使用IDS功能的防火墻系統(tǒng)在防火墻種繼承IDS模塊可以達(dá)到監(jiān)控應(yīng)用層數(shù)據(jù)的效果。該方案的優(yōu)點(diǎn)是便于管理；而缺點(diǎn)是費(fèi)用支出大，長(zhǎng)期需要人力資源對(duì)其進(jìn)行管理與設(shè)備維護(hù)，而且放火墻上的IDS模塊功能有限。4. 結(jié)論我們必須承認(rèn)以現(xiàn)在的防火墻技術(shù)，無(wú)法給我們一個(gè)相當(dāng)安全的網(wǎng)絡(luò)。網(wǎng)絡(luò) 2中是沒(méi)有百分之百安全的，由于我們面對(duì)的黑客都屬于聰明的高技術(shù)性計(jì)算機(jī)專(zhuān)家，攻擊時(shí)的變數(shù)太大，而且防火墻在其設(shè)計(jì)和實(shí)現(xiàn)時(shí)本身也存在漏洞。所以網(wǎng)絡(luò)安全不可能單靠防火墻來(lái)實(shí)現(xiàn)，只可能通過(guò)不斷完善策略、協(xié)議等根本因素才行。 就目前來(lái)看，防火墻依然是網(wǎng)絡(luò)安全技術(shù)中不可或缺的一部分。參考文獻(xiàn)【1】【2】【3】【4】【5】