現在很多人都問電腦要用什麼防火牆比較好?
雖然有用多少對電腦都有一點幫助,
但是一般老百姓的電腦駭客有興趣嗎?
那如果駭客要突破您的防火牆,
是用什麼樣子的方法呢?
2006-02-15 08:21:28 · 2 個解答 · 發問者 ? 2 in 電腦與網際網路 ➔ 軟體
一 防火牆基本原理 首先,我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾,和狀態偵測的包過濾,應用層代理防火牆。但是他們的基本實現都是類似的。 ︱ ︱---路由器-----網卡︱防火牆︱網卡︱----------內部網路︱ ︱ 防火牆一般有兩個以上的網路卡,一個連到外部(router),另一個是連到內部網路。當打開主機網路轉發功能時,兩個網卡間的網路通訊能直接透過。當有防火牆時,他好比插在網卡之間,對所有的網路通訊進行控制。 說到訪問控制,這是防火牆的核心了:),防火牆主要透過一個訪問控制表來判斷的,他的形式一般是一連串的如下規則: 1 accept from+ 源地址,連接埠 to+ 目的地址,連接埠+ 采取的動作 2 deny ...........(deny就是拒絕。。) 3 nat ............(nat是地址轉換。後面說) 防火牆在網路層(包括以下的煉路層)接受到網路數據包後,就從上面的規則連表一條一條地匹配,如果符合就執行預先安排的動作了!如丟棄包。。。。 但是,不同的防火牆,在判斷攻擊行為時,有實現上的差別。下面結合實現原理說說可能的攻擊。 二 攻擊包過濾防火牆 包過濾防火牆是最簡單的一種了,它在網路層截穫網路數據包,根據防火牆的規則表,來偵測攻擊行為。他根據數據包的源IP地址;目的IP地址;TCP/UDP源連接埠;TCP/UDP目的連接埠來過濾!!很容易受到如下攻擊: 1 ip 欺騙攻擊: 這種攻擊,主要是修改數據包的源,目的地址和連接埠,模倣一些合法的數據包來騙過防火牆的偵測。如:外部攻擊者,將他的數據報源地址改為內部網路地址,防火牆看到是合法地址就放行了:)。可是,如果防火牆能結合接口,地址來匹配,這種攻擊就不能成功了:( 2 d.o.s拒絕服務攻擊 簡單的包過濾防火牆不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火牆受到d.o.s攻擊,他可能會忙於處理,而忘記了他自己的過濾功能。:)你就可以饒過了,不過這樣攻擊還很少的。! 3 分片攻擊 這種攻擊的原理是:在IP的分片包中,所有的分片包用一個分片偏移字段標志分片包的順序,但是,只有第一個分片包含有TCP連接埠號的資訊。當IP分片包透過分組過濾防火牆時,防火牆隻根據第一個分片包的Tcp資訊判斷是否允許透過,而其他後續的分片不作防火牆偵測,直接讓它們透過。 這樣,攻擊者就可以透過先發送第一個合法的IP分片,騙過防火牆的偵測,接著封裝了惡意數據的後續分片包就可以直接穿透防火牆,直接到達內部網路主機,從而威脅網路和主機的安全。 4 木馬攻擊 對於包過濾防火牆最有效的攻擊就是木馬了,一但你在內部網路裝設了木馬,防火牆基本上是無能為力的。 原因是:包過濾防火牆一般隻過濾低連接埠(1-1024),而高連接埠他不可能過濾的(因為,一些服務要用到高連接埠,因此防火牆不能關閉高連接埠的),所以很多的木馬都在高連接埠打開等待,如冰河,subseven等。。。 但是木馬攻擊的前提是必須先上傳,運行木馬,對於簡單的包過濾防火牆來說,是容易做的。這裡不寫這個了。大概就是利用內部網路主機開放的服務漏洞。 早期的防火牆都是這種簡單的包過濾型的,到現在已很少了,不過也有。現在的包過濾採用的是狀態偵測技術,下面談談狀態偵測的包過濾防火牆。
2006-02-14 16:27:27 · answer #1 · answered by 林大林 7 · 0⤊ 0⤋
用心服務"貸"您解決任何債務問題,專業理財規劃一次幫你搞定貸款麻煩事
YES貸款理財,歡迎您的加入 LINEID: hot777
銀行貸款 免費諮詢評估 0986、 377、 776
專辦:
房屋貸款、房貸轉增貸款、房貸遲繳、銀行二胎貸款、信用貸款、
民間二胎/三胎代償、代墊、土地貸款、民間二胎借款、
負債整合、二胎借款、房貸協商、房貸整合降息、
免費諮詢評估鑑價或協助辦理各類貸款,不事先收取手續費或代辦費
- -歡迎同業配合- -- -歡迎同業配合- -- -歡迎同業配合- -
歡迎同業配合
2015-02-14 19:01:40 · answer #2 · answered by Loretta 1 · 0⤊ 0⤋