防火牆是如何抵禦攻擊的?
談到攻擊,除了應用層的病毒,蠕蟲,木馬以外,還有OSI模型談到的2/3/4層的攻擊。對于前者,對付的手段比較麻煩,除了需要強悍的防禦外還需要有牛*的防毒軟體,而且還不一定能完全搞定,這塊的内容等下期再跟大家聊聊。
這一期咱先來聊聊3/4層的攻擊手段與防火牆是如何抵禦這些攻擊的。
OSI模型中的第三、四層為IP層與網絡,這一層的協定主要是IP,TCP/UDP,ICMP,IGMP等,其中關于IP位址的攻擊與基于TCP/UDP協定的攻擊最多。
關于IP位址的攻擊有如下幾個:IP欺騙攻擊,smurf攻擊,ICMP重定向攻擊,IP位址掃描攻擊等。關于TCP/UDP協定的攻擊又分為如下幾個:TCP欺騙,TCP/UDP拒絕服務攻擊,端口掃描攻擊,TCP/UDP探測攻擊,非标準封包逃避等。
下面列舉一些關于IP位址的攻擊與防火牆的防禦方法:
1、IP欺騙攻擊:
IP欺騙攻擊是攻擊者通過使用相同的IP來模仿合法主機與目标主機進行連接配接,在中間沒有任何安全産品的過濾下,攻擊者可以很輕松地實作這一攻擊,可以非常輕松地連接配接到目标主機。攻擊者在連接配接的過程中需要猜測連接配接的序列号和增加規律,在系列号的有效誤差範圍内,連接配接是不受影響的。如果中間放置了防火牆,則這一攻擊将不再有效,防火牆通過随機系列号擾亂的方法可以有效地防止攻擊者猜測系列号。(沒看懂往下看,下面将會解釋随機序列号擾亂)
2、IP位址掃描攻擊
掃描攻擊應該算是攻擊類型中影響最小且最容易實作的攻擊方式,掃描本身其實并沒有任何的殺傷力,嚴格來講并不能算是攻擊,但是如果網絡中出現了掃描行為,則有可能存在攻擊者。攻擊者通過IP位址掃描操作,擷取目标網絡的拓撲結構和存活的系統,為實施下一步攻擊做準備。一般情況下,掃描攻擊的封包速度較快,有可能一秒内發送上百個探測包。如果網絡中間放一個防火牆,可以有效的減少掃描攻擊。防火牆可以設定一個源IP位址在限定時間範圍内通路的目标端口數量或目标IP位址數量,比如規定一源IP位址在2秒内可以通路的不同目标IP位址數量為2個,或者目标端口号不超過5個。一般正常使用者是不太可能一秒内通路多個不同端口或多個不同目标IP的。
3、TCP欺騙攻擊
TCP欺騙大多數發生在TCP連接配接建立的過程中,利用主機之間某種網絡服務的信任關系建立虛假的TCP連接配接,可能模拟受害者從伺服器端擷取資訊。具體過程與IP欺騙類似。
過程:
1、A信任B,C是攻擊者,想模拟B和A之間建立連接配接。
2、C先破壞掉B,例如使用floogin, redirect, crashing等
3、C用B的位址作為源位址給A發送TCP SYN封包
-
- A回應TCP SYN/ACK封包,從A發給B,攜帶序列碼S
- C收不到該序列碼S,但為了完成握手必須用S+1作為序列碼進行應答,這時C可以通過以下兩種方法得到序列碼S:
- C 監聽SYN/ACK封包,根據得到的值進行計算
- C 根據A作業系統的特性等,進行猜測
- C使用得到的序列碼S回應A,握手完成,虛假連接配接建立…
如果在AB之間放置防火牆,則攻擊者再無機會欺騙成功。攻擊者連接配接成功的關鍵就在于系列号的問題上,如果攻擊者猜測正确則連接配接成功,否則失敗。在TCP連接配接中,系列号來源于主機系統的一個增長值,每個主機在開機後會開始自動計數,打個比方,XP作業系統開機後計數從0開始,每隔一毫秒增長10,最大值到232,如果計數到了最大值則倒回0繼續計數。當此時需要建立一個TCP連接配接時,系統會在目前時間截獲一個值,以此來充當TCP連接配接的初始系列号。不同的作業系統增長值是不一樣的,而且有規律可尋,而且對方主機在回應時系統号是允許有一定誤差的,誤內插補點在5000以内是被認為合法的。是以黑客利用了這一漏洞實施TCP欺騙攻擊。那防火牆如何防禦?前面提到随機序列号擾亂,下面看看它的做法:
如圖,通過防火牆的封包系列号都經過修改,被增加或減小了10000,請注意,這個值是随機的,而且每一次封包的随機值都是不相同的。通過修改序列号可以有效防止TCP欺騙攻擊。
防火牆除了這些攻擊外還有非常多防禦手段,總之,為了保護網絡安全,防火牆是一個非常重要的安全保護産品。