防火墻技術(shù)經(jīng)過(guò)深入分析研究，利用防火墻設(shè)置和實(shí)現(xiàn)的漏洞，能對(duì)他實(shí)施攻擊。通常情況下，有效的攻擊都是從相關(guān)的子網(wǎng)進(jìn)行的，因?yàn)檫@些網(wǎng)址得到了防火墻的信賴，雖說(shuō)成功和否尚取決于機(jī)遇等其他因素，但對(duì)攻擊者而言非常值得一試。

突破防火墻系統(tǒng)最常用的方法是IP地址欺騙，他同時(shí)也是其他一系列攻擊方法的基礎(chǔ)。之所以使用這個(gè)方法，是因?yàn)镮P自身的缺點(diǎn)。IP協(xié)議依據(jù)IP頭中的目的地址項(xiàng)來(lái)發(fā)送IP數(shù)據(jù)包。如果目的地址是本地網(wǎng)絡(luò)內(nèi)的地址，該IP包就被直接發(fā)送到目的地。如果目的地址不在本地網(wǎng)絡(luò)內(nèi)，該IP包就會(huì)被發(fā)送到網(wǎng)關(guān)，再由網(wǎng)關(guān)決定將其發(fā)送到何處。這是IP路由IP包的方法。

IP路由IP包時(shí)對(duì)IP頭中提供的IP源地址不做所有檢查，并且認(rèn)為IP頭中的IP源地址即為發(fā)送該包的機(jī)器的IP地址。當(dāng)接收到該包的目的主機(jī)要和源主機(jī)進(jìn)行通訊時(shí)，他以接收到的IP包的IP頭中IP源地址作為其發(fā)送的IP包的目的地址，來(lái)和源主機(jī)進(jìn)行數(shù)據(jù)通訊。IP的這種數(shù)據(jù)通訊方式雖然非常簡(jiǎn)單和高效，但他同時(shí)也是IP的一個(gè)安全隱患，非常多網(wǎng)絡(luò)安全事故都是因?yàn)镮P這個(gè)的缺點(diǎn)而引發(fā)的。

黑客或入侵者利用偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組，喬裝成來(lái)自內(nèi)部站的分組過(guò)濾器，這種類型的攻擊是非常危險(xiǎn)的。關(guān)于涉及到的分組真正是內(nèi)部的還是外部的分組被包裝得看起來(lái)象內(nèi)部的種種跡象都已喪失殆盡。只要系統(tǒng)發(fā)現(xiàn)發(fā)送地址在其自己的范圍之內(nèi)，則他就把該分組按內(nèi)部通信對(duì)待并讓其通過(guò)。

通常主機(jī)A和主機(jī)B的TCP連接(中間有或無(wú)防火墻)是通過(guò)主機(jī)A向主機(jī)B提出請(qǐng)求建立起來(lái)的，而其間A和B的確認(rèn)僅僅根據(jù)由主機(jī)A產(chǎn)生并經(jīng)主機(jī)B驗(yàn)證的初始序列號(hào)ISN。具體分三個(gè)步驟：

主機(jī)A產(chǎn)生他的ISN，傳送給主機(jī)B，請(qǐng)求建立連接；B接收到來(lái)自A的帶有SYN標(biāo)志的ISN后，將自己本身的ISN連同應(yīng)答信息ACK一同返回給A；A再將B傳送來(lái)ISN及應(yīng)答信息ACK返回給B。至此，正常情況，主機(jī)A和B的TCP連接就建立起來(lái)了。

B ---- SYN ----> A  
 
B <---- SYN+ACK ---- A  
 
B ---- ACK ----> A 

假設(shè)C企圖攻擊A，因?yàn)锳和B是相互信任的，如果C已知道了被A信任的B，那么就要相辦法使得B的網(wǎng)絡(luò)功能癱瘓，防止別的東西干擾自己的攻擊。在這里普遍使用的是SYN flood。攻擊者向被攻擊主機(jī)發(fā)送許多TCP- SYN包。這些TCP-SYN包的源地址并不是攻擊者所在主機(jī)的IP地址，而是攻擊者自己填入的IP地址。當(dāng)被攻擊主機(jī)接收到攻擊者發(fā)送來(lái)的TCP-SYN包后，會(huì)為一個(gè)TCP連接分配一定的資源，并且會(huì)以接收到的數(shù)據(jù)包中的源地址（即攻擊者自己偽造的IP地址）為目的地址向目的主機(jī)發(fā)送TCP-（SYN+ACK）應(yīng)答包。

由于攻擊者自己偽造的IP地址一定是精心選擇的不存在的地址，所以被攻擊主機(jī)永遠(yuǎn)也不可能收到他發(fā)送出去的TCP-（SYN+ACK）包的應(yīng)答包，因而被攻擊主機(jī)的TCP狀態(tài)機(jī)會(huì)處于等待狀態(tài)。如果被攻擊主機(jī)的TCP狀態(tài)機(jī)有超時(shí)控制的話，直到超時(shí)，為該連接分配的資源才會(huì)被回收。因此如果攻擊者向被攻擊主機(jī)發(fā)送足夠多的TCP-SYN包，并且足夠快，被攻擊主機(jī)的TCP模塊肯定會(huì)因?yàn)闊o(wú)法為新的TCP連接分配到系統(tǒng)資源而處于服務(wù)拒絕狀態(tài)。并且即使被攻擊主機(jī)所在網(wǎng)絡(luò)的管理員監(jiān)聽(tīng)到了攻擊者的數(shù)據(jù)包也無(wú)法依據(jù)IP頭的源地址信息判定攻擊者是誰(shuí)。

當(dāng)B的網(wǎng)絡(luò)功能暫時(shí)癱瘓，目前C必須想方設(shè)法確定A當(dāng)前的ISN。首先連向25端口，因?yàn)镾MTP是沒(méi)有安全校驗(yàn)機(jī)制的，和前面類似，不過(guò)這次需要記錄A的ISN，及C到A的大致的RTT(round trip time)。這個(gè)步驟要重復(fù)多次以便求出RTT的平均值。一旦C知道了A的ISN基值和增加規(guī)律，就能計(jì)算出從C到A需要RTT/2 的時(shí)間。然后即時(shí)進(jìn)入攻擊，否則在這之間有其他主機(jī)和A連接，ISN將比預(yù)料的多。

C向A發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接，只是信源IP改成了B。A向B回送SYN+ACK數(shù)據(jù)段，B已無(wú)法響應(yīng)，B的TCP層只是簡(jiǎn)單地丟棄A的回送數(shù)據(jù)段。這個(gè)時(shí)候C需要暫停一小會(huì)兒，讓A有足夠時(shí)間發(fā)送SYN+ACK，因?yàn)镃看不到這個(gè)包。然后C再次偽裝成B向A發(fā)送ACK，此時(shí)發(fā)送的數(shù)據(jù)段帶有Z預(yù)測(cè)的A的ISN+1。如果預(yù)測(cè)準(zhǔn)確，連接建立，數(shù)據(jù)傳送開(kāi)始。

問(wèn)題在于即使連接建立，A仍然會(huì)向B發(fā)送數(shù)據(jù)，而不是C，C仍然無(wú)法看到A發(fā)往B的數(shù)據(jù)段，C必須蒙著頭按照協(xié)議標(biāo)準(zhǔn)假冒B向A發(fā)送命令，于是攻擊完成。如果預(yù)測(cè)不準(zhǔn)確，A將發(fā)送一個(gè)帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接，C只有從頭再來(lái)。隨著不斷地糾正預(yù)測(cè)的ISN，攻擊者最終會(huì)和目標(biāo)主機(jī)建立一個(gè)會(huì)晤。通過(guò)這種方式，攻擊者以合法用戶的身份登錄到目標(biāo)主機(jī)而不需進(jìn)一步的確認(rèn)。如果反復(fù)試驗(yàn)使得目標(biāo)主機(jī)能夠接收對(duì)網(wǎng)絡(luò)的ROOT登錄，那么就能完全控制整個(gè)網(wǎng)絡(luò)。

C(B) ---- SYN ----> A  
 
B <---- SYN+ACK ---- A  
 
C(B) ---- ACK ----> A  
 
C(B) ---- PSH ----> A 

IP欺騙攻擊利用了RPC服務(wù)器僅僅依賴于信源IP地址進(jìn)行安全校驗(yàn)的特性，攻擊最困難的地方在于預(yù)測(cè)A的ISN。攻擊難度比較大，但成功的可能性也非常大。C必須精確地預(yù)見(jiàn)可能從A發(fā)往B的信息，及A期待來(lái)自B的什么應(yīng)答信息，這需求攻擊者對(duì)協(xié)議本身相當(dāng)熟悉。同時(shí)需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程式完成。當(dāng)然在準(zhǔn)備階段能用netxray之類的工具進(jìn)行協(xié)議分析。

雖然IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識(shí)到，這種攻擊非常廣泛，入侵往往由這里開(kāi)始。預(yù)防這種攻擊還是比較容易的。IP本身的缺陷造成的安全隱患目前是無(wú)法從根本上消除的。我們只能采取一些彌補(bǔ)措施來(lái)使其造成的危害減少到最小的程度。防御這種攻擊的最最佳的方法是：每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許外部的IP數(shù)據(jù)包進(jìn)入局域網(wǎng)之前，先對(duì)來(lái)自外部的IP數(shù)據(jù)包進(jìn)行檢驗(yàn)。如果該IP包的IP源地址是其要進(jìn)入的局域網(wǎng)內(nèi)的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許進(jìn)入該局域網(wǎng)。

這種方法雖然能夠非常好的解決問(wèn)題，不過(guò)考慮到一些以太網(wǎng)卡接收他們自己發(fā)出的數(shù)據(jù)包，并且在實(shí)際應(yīng)用中局域網(wǎng)和局域網(wǎng)之間也常常需要有相互的信任關(guān)系以共享資源，這種方案不具有較好的實(shí)際價(jià)值。另外一種防御這種攻擊的較為最佳的方法是當(dāng)IP數(shù)據(jù)包出局域網(wǎng)時(shí)檢驗(yàn)其IP源地址。即每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許本局域網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出局域網(wǎng)之前，先對(duì)來(lái)自該IP數(shù)據(jù)包的IP源地址進(jìn)行檢驗(yàn)。

如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許該包離開(kāi)局域網(wǎng)。這樣一來(lái)，攻擊者至少需要使用其所在局域網(wǎng)內(nèi)的IP地址才能通過(guò)連接該局域網(wǎng)的網(wǎng)關(guān)或路由器。如果攻擊者要進(jìn)行攻擊，根據(jù)其發(fā)出的IP數(shù)據(jù)包的IP源地址就會(huì)非常容易找到誰(shuí)實(shí)施了攻擊。因此建議每一個(gè)ISP或局域網(wǎng)的網(wǎng)關(guān)路由器都對(duì)出去的IP數(shù)據(jù)包進(jìn)行IP源地址的檢驗(yàn)和過(guò)濾。如果每一個(gè)網(wǎng)關(guān)路由器都做到了這一點(diǎn)，IP源地址欺騙將基本上無(wú)法奏效。在當(dāng)前并不是每一網(wǎng)關(guān)及路由器都能做到這一點(diǎn)的情況下，網(wǎng)絡(luò)系統(tǒng)員只能將自己管理的網(wǎng)絡(luò)至于盡可能嚴(yán)密的監(jiān)視之下，以防備可能到來(lái)的攻擊。(T114)

利用IP地址欺騙突破防火墻深層技術(shù)的相關(guān)內(nèi)容就為大家介紹完了，希望大家多多掌握這方面的知識(shí)。

【編輯推薦】

1. 詳細(xì)解析數(shù)據(jù)加密
2. 生成和交換預(yù)共享密鑰
3. PKI基礎(chǔ)內(nèi)容介紹（1）
4. 破解你的密碼需要多長(zhǎng)時(shí)間？
5. 信息安全的核心之密碼技術(shù) 上
6. 揭露維基解密竊取機(jī)密信息新手段
7. 防御網(wǎng)絡(luò)威脅UTM技術(shù)解密（圖示）