利用IP地址欺骗突破防火墙_网络冲浪

  一般的访问控制主要在防火墙中进行设置,制定一些安全策略:如内部局域网的资源不允许外部网上的用户使用;不设防区(又称非军事区)可以为内部或外部局域网,其中的资源允许外部网的用户有限度地使用;可以使外部用户访问非军事区(DMZ区)的WEB服务器等等。

  深入分析研究防火墙技术,利用防火墙配置和实现的漏洞,可以对它实施攻击。通常情况下,有效的攻击都是从相关的子网进行的,因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。

  突破防火墙系统最常用的方法是IP地址欺骗,它同时也是其他一系列攻击方法的基础。之所以使用这个方法,是因为IP自身的缺点。IP协议依据IP头中的目的地址项来发送IP数据包。如果目的地址是本地网络内的地址,该IP包就被直接发送到目的地。如果目的地址不在本地网络内,该IP包就会被发送到网关,再由网关决定将其发送到何处。这是IP路由IP包的方法。

  IP路由IP包时对IP头中提供的IP源地址不做任何检查,并且认为IP头中的IP源地址即为发送该包的机器的IP地址。当接收到该包的目的主机要与源主机进行通讯时,它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址,来与源主机进行数据通讯。IP的这种数据通讯方式虽然非常简单和高效,但它同时也是IP的一个安全隐患,很多网络安全事故都是因为IP这个的缺点而引发的。

  黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部站的分组过滤器,这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包装得看起来象内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内,则它就把该分组按内部通信对待并让其通过。

  通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的,而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。具体分三个步骤:

  主机A产生它的ISN,传送给主机B,请求建立连接;B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;A再将B传送来ISN及应答信息ACK返回给B。至此,正常情况,主机A与B的TCP连接就建立起来了。

  B ---- SYN ----> A
  B <---- SYN+ACK ---- A
  B ---- ACK ----> A

  假设C企图攻击A,因为A和B是相互信任的,如果C已经知道了被A信任的B,那么就要相办法使得B的网络功能瘫痪,防止别的东西干扰自己的攻击。在这里普遍使用的是SYN flood。攻击者向被攻击主机发送许多TCP- SYN包。这些TCP-SYN包的源地址并不是攻击者所在主机的IP地址,而是攻击者自己填入的IP地址。当被攻击主机接收到攻击者发送来的TCP-SYN包后,会为一个TCP连接分配一定的资源,并且会以接收到的数据包中的源地址(即攻击者自己伪造的IP地址)为目的地址向目的主机发送TCP-(SYN+ACK)应答包。

  由于攻击者自己伪造的IP地址一定是精心选择的不存在的地址,所以被攻击主机永远也不可能收到它发送出去的TCP-(SYN+ACK)包的应答包,因而被攻击主机的TCP状态机会处于等待状态。如果被攻击主机的TCP状态机有超时控制的话,直到超时,为该连接分配的资源才会被回收。因此如果攻击者向被攻击主机发送足够多的TCP-SYN包,并且足够快,被攻击主机的TCP模块肯定会因为无法为新的TCP连接分配到系统资源而处于服务拒绝状态。并且即使被攻击主机所在网络的管理员监听到了攻击者的数据包也无法依据IP头的源地址信息判定攻击者是谁。

  当B的网络功能暂时瘫痪,现在C必须想方设法确定A当前的ISN。首先连向25端口,因为SMTP是没有安全校验机制的,与前面类似,不过这次需要记录A的ISN,以及C到A的大致的RTT(round trip time)。这个步骤要重复多次以便求出RTT的平均值。一旦C知道了A的ISN基值和增加规律,就可以计算出从C到A需要RTT/2 的时间。然后立即进入攻击,否则在这之间有其他主机与A连接,ISN将比预料的多。

  C向A发送带有SYN标志的数据段请求连接,只是信源IP改成了B。A向B回送SYN+ACK数据段,B已经无法响应,B的TCP层只是简单地丢弃A的回送数据段。这个时候C需要暂停一小会儿,让A有足够时间发送SYN+ACK,因为C看不到这个包。然后C再次伪装成B向A发送ACK,此时发送的数据段带有Z预测的A的ISN+1。如果预测准确,连接建立,数据传送开始。

  问题在于即使连接建立,A仍然会向B发送数据,而不是C,C仍然无法看到A发往B的数据段,C必须蒙着头按照协议标准假冒B向A发送命令,于是攻击完成。如果预测不准确,A将发送一个带有RST标志的数据段异常终止连接,C只有从头再来。随着不断地纠正预测的ISN,攻击者最终会与目标主机建立一个会晤。通过这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网络。

  C(B) ---- SYN ----> A
  B <---- SYN+ACK ---- A
  C(B) ---- ACK ----> A
  C(B) ---- PSH ----> A

  IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性,攻击最困难的地方在于预测A的ISN。攻击难度比较大,但成功的可能性也很大。C必须精确地预见可能从A发往B的信息,以及A期待来自B的什么应答信息,这要求攻击者对协议本身相当熟悉。同时需要明白,这种攻击根本不可能在交互状态下完成,必须写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。

  虽然IP欺骗攻击有着相当难度,但我们应该清醒地意识到,这种攻击非常广泛,入侵往往由这里开始。预防这种攻击还是比较容易的。IP本身的缺陷造成的安全隐患目前是无法从根本上消除的。我们只能采取一些弥补措施来使其造成的危害减少到最小的程度。防御这种攻击的最理想的方法是:每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前,先对来自外部的IP数据包进行检验。如果该IP包的IP源地址是其要进入的局域网内的IP地址,该IP包就被网关或路由器拒绝,不允许进入该局域网。

  这种方法虽然能够很好的解决问题,但是考虑到一些以太网卡接收它们自己发出的数据包,并且在实际应用中局域网与局域网之间也常常需要有相互的信任关系以共享资源,这种方案不具备较好的实际价值。另外一种防御这种攻击的较为理想的方法是当IP数据包出局域网时检验其IP源地址。即每一个连接局域网的网关或路由器在决定是否允许本局域网内部的IP数据包发出局域网之前,先对来自该IP数据包的IP源地址进行检验。

  如果该IP包的IP源地址不是其所在局域网内部的IP地址,该IP包就被网关或路由器拒绝,不允许该包离开局域网。这样一来,攻击者至少需要使用其所在局域网内的IP地址才能通过连接该局域网的网关或路由器。如果攻击者要进行攻击,根据其发出的IP数据包的IP源地址就会很容易找到谁实施了攻击。因此建议每一个ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。如果每一个网关路由器都做到了这一点,IP源地址欺骗将基本上无法奏效。在当前并不是每一网关及路由器都能做到这一点的情况下,网络系统员只能将自己管理的网络至于尽可能严密的监视之下,以防备可能到来的攻击。

时间: 2024-09-30 22:44:01

利用IP地址欺骗突破防火墙_网络冲浪的相关文章

新手看招:避免网络 IP 地址被非法修改_网络冲浪

局域网中各工作站的TCP/IP参数被随意修改后,很容易造成IP地址的冲突,这会给管理工作带来不小的麻烦.那么,有没有办法保护好自己的网络,不让别人非法修改IP地址呢? 其实,很简单,你只要参照下面的步骤,就能轻松避免IP地址被非法修改的麻烦! 注册表设置法 首先,需要将桌面上的"网上邻居"图标隐藏起来,让其他人无法通过"网上邻居"属性窗口,进入到TCP/IP参数设置界面.依次展开注册表编辑窗口中的"HKEY_CURRENT_USER"."

如何利用网桥功能实现有线上网_网络冲浪

在网上看到一篇利用Windows XP网桥功能实现无线上网的文章,个人观点认为,无线上网固然有其独特的优点,但就现阶段的状态来看,有线网络还是在传输速度.传输质量以及价格方面有着无线网络无法比拟的优势,因而在此介绍网桥功能实现有线上网,希望能够与大家一起交流心得. 在这里我们以多台计算机共用一条ADSL上网为例,介绍整个的连接过程,当然基于无线连接.拨号的连接也能够实现,但在这里就有线上网的具体配置实现过程进行说明. 如图1所示是实现多台计算机同时上网的网络结构,这个结构和Wingate等软件上

合理的配置防火墙_网络冲浪

今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,这样说确实有些悲观但今天的网络的确如此,从Internet到企业内网.从个人电脑到可上网的手机平台,没有地方是安全的.每一次网络病毒的攻击,都会让家庭用户.企业用户.800热线甚至是运营商头痛脑热.不过经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了.现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙,相信不久的将来,我们可以看到在手机上也会出现防火墙. 但是防火

应该如何选择适合你的防火墙_网络冲浪

    防火墙非常普遍,但并非一应俱全.说到安全细化分析,基于网关的防火墙最好,紧随其后的是状态检测防火墙,但状态检测防火墙提供的安全处理功能最弱.不过就易管理性而言,顺序恰好相反:状态检测防火墙具有最佳的"即插即用性",应用代理防火墙最弱.那么你怎样确定哪种类型的防火墙适合你的网络呢?哪一种能够在安全.功能.成本和易管理性之间达到最佳平衡呢?     要解决上述问题,不妨分析一下三种应用环境:小型办公室.需求一般的大中型办公室,以及需求复杂的大型办公室.     小型办公室.    

利用万象来控制整个网吧_网络冲浪

在现在的信息世界,软件层出不穷,相信万象网吧管理系统这个东西大家都是左耳听进右耳听出的吧,什么?你还没听说过?我晕,那你肯定是在骗我,既然你懂得进入这里,那你一定知道它是个什么样的东东.对于一些经常在网吧上网的网络爱好者来说,系统让人锁住是一件很痛心的事情,千万百计的想下载一个软件来泡一下那个MM,或想炸一下那个骂自己的王八蛋,但是网吧里总是会说"当前安全设置不允许下载",我靠,我又晕,怎么办?那肯定是要采取手段来干掉它啊!一堆的FEi话后,现在转入正题:     万象:一个客户端:一

计算机网络系统安全漏洞分类研究_网络冲浪

写本文的目地是为了总结一些东西,解决在试图构造一个漏洞数据库的过程中碰到的主要问题,也就是如何对计算机网络漏洞进行分类的问题.文中的一些想法并不成熟,有些甚至连自己也不满意,权作抛砖引玉,以期与在这方面有深入研究的同仁交流,共同提高完善.一个计算机网络安全漏洞有它多方面的属性,我认为主要可以用以下几个方面来概括:漏洞可能造成的直接威胁,漏洞的成因,漏洞的严重性,漏洞被利用的方式.以下的讨论将回绕这几个方面对漏洞细分其类.A.按漏洞可能对系统造成的直接威胁 可以大致分成以下几类,事实上一个系统漏洞

黑客突破防火墙常用的几种技术_网络冲浪

一.防火墙基本原理 首先,我们需要了解一些基本的防火墙实现原理.防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙.但是他们的基本实现都是类似的. │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │ 防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络.当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过.当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制. 说到访问控制,这是防火墙的核心了:),防火墙主要通过一个

使用Http通道突破防火墙限制_网络冲浪

不少公司的防火墙作了较为严格的限制,以至于很多网络服务如QQ.MSN都无法运行,如果你还能够打开网页,那么,使用Http通道软件可以让你突破限制,可以在现有的网络条件中使用任何网络服务. 使用Http通道软件可以突破防火墙的限制,利用唯一Http访问的权限获得其他Internet应用.那么什么是通道呢?这里所谓的通道,是指一种绕过防火墙端口屏蔽的通讯方式.防火墙两端的数据包封装在防火墙所允许通过的数据包类型或是端口上,然后穿过防火墙与对方通讯,当封装的数据包到达目的地时,再将数据包还原,并将还原

使用TCP/IP协议栈指纹进行远程操作系统辨识_网络冲浪

概述 本文讨论了如何查询一台主机的TCP/IP协议栈来收集宝贵的信息.首先,我列举了栈指纹之外的几种"经典的"操作系统辨识方法.然后我描述了栈指纹工具的"工艺现状".接下来说明让远程主机泄漏其信息的一些技术.最后详述了我的实现(nmap),和用它获得的一些流行网站的操作系统信息.理由热点网络 我认为辨识一个系统所运行OS的用处是相当显而易见的,所以这一节会很短.最有力的例子之一是许多安全漏洞是OS相关的.试想你正在作突破试验并发现53端口是打开的.如果那是易遭攻击的