一、防火墙基于文件的抗毁技术分析 目前大部分网络安全工具在保护服务器方面的设计思想是基于事先预防,通过种种手段使服务器尽可能安全。这种防范是一种被动的防范,也就是说如果这些方法都失效,黑客进入了服务器,则上述的方法是无能为力的。 随着网络安全技术的进一步发展,大家已普遍认识到,黑客入侵防范体系是一个动态的、基于时间变化的体系,所以,该系统是基于另外一种思路设计的,即:针对服务器上的关键文件进行实时地一致性检查,一旦发现文件内容、属主、时间等被非法修改就及时报警,并在极短的时间内进行恢复。基于文件的抗毁系统性能的关键是资源占有量、正确性和实时性。 我们依照该思路,在福建省科委火炬计划“网络安全性能优化问题的研究及其产品化”项目成果的基础上,在原国信安办“计算机网络系统安全技术研究”项目的进一步资助下,研制出一个基于文件的网站抗毁系统——网站实时监控与自动恢复系统,它属于信息安全领域抗毁性技术范畴,研究如何在灾难发生后确保系统能够按时地完成既定任务。它是对传统计算机安全概念、方法和工具的进一步拓展,使得系统具有在受到攻击时能够继续完成既定任务的能力。它综合了各种质量属性以保证尽管一个系统的某些重要部分已经受到破坏,该系统的网络、软件和主要服务任务仍会一如既往地进行下去。下面对该系统实现中的几个关键技术做一介绍。 1.备份与恢复技术 备份与恢复技术是网站监控与自动恢复技术的关键,我们使用异机备份技术,而且是一台备份机面向多台监控机。 2.远程控制技术 目前许多网站都是远程托管的,从远端来控制网站监控与实时恢复系统的运行状态与运行参数配置是很关键的。远端控制包括参数的设定、运行状态的管理等。 3.文件扫描与一致性检查技术 该技术关键是利用单向Hash MD5算法 ,根据被保护对象的内容生成一定长度的数字签名和文件的Hash值,在被保护对象处于“clean”状态时生成被保护对象数据库,记录其数字签名和Hash值。在运行过程中实时计算被保护对象的数字签名和Hash值,并与被保护对象数据库中的相关记录相比较,判断其是否被修改。在学术研究的领域,1992年的tripwire软件已经是这项技术开始成熟的标志。 二、攻击防火墙的手法 一般来说,完全实现了状态检测技术防火墙,智能性都比较高,一些扫描攻击还能自动的反应,因此,攻击者要很小心才不会被发现。但是,也有不少的攻击手段对付这种防火墙的。 1 协议隧道攻击 协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。例如,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。由于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机下面的命令是用于启动lokid服务器程序:lokid-p–I–vl loki客户程序则如下启动:loki–d172.29.11.191(攻击目标主机)-p–I–v1–t3,这样,lokid和loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。 2 利用FTP-pasv绕过防火墙认证的攻击 FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找"227"这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。 3 反弹木马攻击 反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。但是这种攻击的局限是:必须首先安装这个木马!!!所有的木马的第一步都是关键!!!
|