您所在的位置： &
利用IP地址欺骗突破防火墙深层技术解析
利用IP地址欺骗突破防火墙深层技术解析
一般的访问控制主要在防火墙中进行设置，制定一些安全策略：如内部局域网的资源不允许外部网上的用户使用；不设防区(又称非军事区)能为内部或外部局域网，其中的资源允许外部网的用户有限度地使用；能使外部用户访问非军事区（DMZ区）的WEB服务器等等。看本文以下的的详细分析。
防火墙技术经过深入分析研究，利用防火墙设置和实现的，能对他实施攻击。通常情况下，有效的攻击都是从相关的子网进行的，因为这些网址得到了防火墙的信赖，虽说成功和否尚取决于机遇等其他因素，但对攻击者而言非常值得一试。
突破防火墙系统最常用的方法是IP地址欺骗，他同时也是其他一系列攻击方法的基础。之所以使用这个方法，是因为IP自身的缺点。IP协议依据IP头中的目的地址项来发送IP数据包。如果目的地址是本地网络内的地址，该IP包就被直接发送到目的地。如果目的地址不在本地网络内，该IP包就会被发送到网关，再由网关决定将其发送到何处。这是IP路由IP包的方法。
IP路由IP包时对IP头中提供的IP源地址不做所有检查，并且认为IP头中的IP源地址即为发送该包的机器的IP地址。当接收到该包的目的主机要和源主机进行通讯时，他以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址，来和源主机进行数据通讯。IP的这种数据通讯方式虽然非常简单和高效，但他同时也是IP的一个安全隐患，非常多网络安全事故都是因为IP这个的缺点而引发的。
或入侵者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包装得看起来象内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内，则他就把该分组按内部通信对待并让其通过。
通常主机A和主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的，而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。具体分三个步骤：
主机A产生他的ISN，传送给主机B，请求建立连接；B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A；A再将B传送来ISN及应答信息ACK返回给B。至此，正常情况，主机A和B的TCP连接就建立起来了。
B&----&SYN&----&A &&B&&SYN+ACK&----&A &&B&----&ACK&----&A&
假设C企图攻击A，因为A和B是相互信任的，如果C已知道了被A信任的B，那么就要相办法使得B的网络功能瘫痪，防止别的东西干扰自己的攻击。在这里普遍使用的是SYN flood。攻击者向被攻击主机发送许多TCP- SYN包。这些TCP-SYN包的源地址并不是攻击者所在主机的IP地址，而是攻击者自己填入的IP地址。当被攻击主机接收到攻击者发送来的TCP-SYN包后，会为一个TCP连接分配一定的资源，并且会以接收到的数据包中的源地址（即攻击者自己伪造的IP地址）为目的地址向目的主机发送TCP-（SYN+ACK）应答包。
由于攻击者自己伪造的IP地址一定是精心选择的不存在的地址，所以被攻击主机永远也不可能收到他发送出去的TCP-（SYN+ACK）包的应答包，因而被攻击主机的TCP状态机会处于等待状态。如果被攻击主机的TCP状态机有超时控制的话，直到超时，为该连接分配的资源才会被回收。因此如果攻击者向被攻击主机发送足够多的TCP-SYN包，并且足够快，被攻击主机的TCP模块肯定会因为无法为新的TCP连接分配到系统资源而处于服务拒绝状态。并且即使被攻击主机所在网络的管理员监听到了攻击者的数据包也无法依据IP头的源地址信息判定攻击者是谁。
当B的网络功能暂时瘫痪，目前C必须想方设法确定A当前的ISN。首先连向25端口，因为SMTP是没有安全校验机制的，和前面类似，不过这次需要记录A的ISN，及C到A的大致的RTT(round trip time)。这个步骤要重复多次以便求出RTT的平均值。一旦C知道了A的ISN基值和增加规律，就能计算出从C到A需要RTT/2 的时间。然后即时进入攻击，否则在这之间有其他主机和A连接，ISN将比预料的多。
C向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B。A向B回送SYN+ACK数据段，B已无法响应，B的TCP层只是简单地丢弃A的回送数据段。这个时候C需要暂停一小会儿，让A有足够时间发送SYN+ACK，因为C看不到这个包。然后C再次伪装成B向A发送ACK，此时发送的数据段带有Z预测的A的ISN+1。如果预测准确，连接建立，数据传送开始。
问题在于即使连接建立，A仍然会向B发送数据，而不是C，C仍然无法看到A发往B的数据段，C必须蒙着头按照协议标准假冒B向A发送命令，于是攻击完成。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，C只有从头再来。随着不断地纠正预测的ISN，攻击者最终会和目标主机建立一个会晤。通过这种方式，攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录，那么就能完全控制整个网络。
C(B)&----&SYN&----&A &&B&&SYN+ACK&----&A &&C(B)&----&ACK&----&A &&C(B)&----&PSH&----&A&
IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，攻击最困难的地方在于预测A的ISN。攻击难度比较大，但成功的可能性也非常大。C必须精确地预见可能从A发往B的信息，及A期待来自B的什么应答信息，这需求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须写程式完成。当然在准备阶段能用netxray之类的工具进行协议分析。
虽然IP欺骗攻击有着相当难度，但我们应该清醒地意识到，这种攻击非常广泛，入侵往往由这里开始。预防这种攻击还是比较容易的。IP本身的缺陷造成的安全隐患目前是无法从根本上消除的。我们只能采取一些弥补措施来使其造成的危害减少到最小的程度。防御这种攻击的最最佳的方法是：每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前，先对来自外部的IP数据包进行检验。如果该IP包的IP源地址是其要进入的局域网内的IP地址，该IP包就被网关或路由器拒绝，不允许进入该局域网。
这种方法虽然能够非常好的解决问题，不过考虑到一些以太网卡接收他们自己发出的数据包，并且在实际应用中局域网和局域网之间也常常需要有相互的信任关系以共享资源，这种方案不具有较好的实际价值。另外一种防御这种攻击的较为最佳的方法是当IP数据包出局域网时检验其IP源地址。即每一个连接局域网的网关或路由器在决定是否允许本局域网内部的IP数据包发出局域网之前，先对来自该IP数据包的IP源地址进行检验。
如果该IP包的IP源地址不是其所在局域网内部的IP地址，该IP包就被网关或拒绝，不允许该包离开局域网。这样一来，攻击者至少需要使用其所在局域网内的IP地址才能通过连接该局域网的网关或路由器。如果攻击者要进行攻击，根据其发出的IP数据包的IP源地址就会非常容易找到谁实施了攻击。因此建议每一个ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。如果每一个网关路由器都做到了这一点，IP源地址欺骗将基本上无法奏效。在当前并不是每一网关及路由器都能做到这一点的情况下，网络系统员只能将自己管理的网络至于尽可能严密的监视之下，以防备可能到来的攻击。(T114)
利用IP地址欺骗突破防火墙深层技术的相关内容就为大家介绍完了，希望大家多多掌握这方面的知识。
【编辑推荐】
【责任编辑： TEL：（010）】
关于&&&&的更多文章
随着安全威胁、网络应用和用户行为日益复杂，企业呼唤更加智能的
虽然网购有诸多优点，越来越多的人热衷于此，但网购的安全性也逐渐凸显
2013(美国)大会即将在2月25日――3月1日在美国旧金山
Fortinet (NASDAQ: FTNT) 是一家全球领先的网络安全设
本专题从以下六个方向对2012年的重大网络安全事件进行
《Cisco网络工程案例精粹》是一本以案例为基础兼顾知识概述的案例性书籍，所收录的案例都是笔者精心挑选出来的在网络工作中常见
51CTO旗下网站软件与服务//
使用Http通道突破防火墙限制方法简介
　　不少公司的防火墙作了较为严格的限制，以至于很多网络服务如QQ、MSN都无法运行，假如你还能够打开网页，那么，使用Http通道软件可以让你突破限制，可以在现有的网络条件中使用任何网络服务。
　　使用Http通道软件可以突破防火墙的限制，利用唯一Http访问的权限获得其他Internet应用。那么什么是通道呢?这里所谓的通道，是指一种绕过防火墙端口屏蔽的通讯方式。 防火墙两端的数据包封装在防火墙所答应通过的数据包类型或是端口上，然后穿过防火墙与对方通讯，当封装的数据包到达目的地时，再将数据包还原，并将还原后的数据包转交到相应的服务器上。
　　www.是一个专业提供Http通道服务的公司，通过他们的在线Tunnel Server，局域网内的用户可以使用被防火墙所屏蔽的ICQ、E-mail、PC Anywhere、MSN、 QQ、Napster等软件。
　　使用Http-tunnel的Tunnel Server必须使用Http-tunnel的客户端程序Http-Tunnel ClIEnt，Http-Tunnel Client的免费版本答应40Kb/秒的数据转发服务。
　　一、程序安装和设置
　　1.运行下载的安装程序，安装过程比较简单一路Next即可完成。
　　2.安装完成后，会弹出“Configuration(配置)”窗口，设置本机的Internet连接，有三个选项：
　　a) Auto detected(自动检测)：你果你不知道你的机器连接，可以选择这个。
　　b) No Proxy,only a firewall(直接上网，有防火墙)：使用局域网和直接上网的用户选这个。
　　c) Specify Proxy(指定代理服务器)：假如你使用代理服务器上网，选这个，同时你还必须输入代理服务器的地址和端口，假如需要用户名和密码还需要一并输入。
　　3.设置好连接，可以单击“Test(测试)”按钮，测试一下，假如看到“Test successful(测试成功)”的提示，就代表你设置的已经完成。
　　4.程序正常运行后，可以将它最小化，它会在任务栏的提示区内生成一个下图标，单击可还原。
　　二、设置QQ访问
　　由于QQ对外访问使用的端口是4000，所以网络治理员通常通过限制端口的使用来限制QQ的访问，下面介绍一下如何设置QQ通过http-tunnel访问Internet。
　　1.打开QQ，单击“QQ菜单”按钮，选择“系统参数”。
　　2.在弹出的QQ参数设置窗口中，选择“网络设置”。
　　3.勾上“使用代理服务器”。
　　4.输入代理服务器地址：127.0.0.1，端口号：1080。
　　5.确定，关闭所有窗口，重新登录即可使用QQ了。
　　三、设置MSN访问
　　MSN的访问设置可QQ差不多，不过http-tunnel支持MSN要比QQ好得多，设置步骤如下：
　　1.选择“工具”菜单的“选项”。
　　2.选择“连接”标签。
　　3.勾上“我使用代理服务器”。
　　4.类型选择“SOCKS4”，服务器中输入“127.0.0.1”，端口号“1080”。
　　5.确定，关闭所有窗口，重新登录即可使用MSN了。
　　四、设置Cuteftp的访问
　　有时候网络治理员为控制网络带宽的使用和保障信息安全，需要限制FTP服务，这给文件的上传和下载带来了不便。通过设置一样可以确保Cuteftp实现Internet的访问，设置步 骤如下：
　　1.选择“编辑”菜单，选择“设置”，弹出设置窗口。
　　2.展开“连接”，选择“SOCKS”，选择“SOCKs4”，主机：127.0.0.1 端口：1080。(tu5.bmp)
　　3.选择“防火墙”，勾上“启用防火墙访问”和“PASV模式”
　　4.确定，关闭所有窗口，即可选择站点登录下载文件。
　　五、设置Windows XP的远程桌面连接使用Http-Tunnel
　　由于远程桌面连接并没有提供代理服务器设置的界面，所以无法像QQ、MSN和Cuteftp一样直接设置，这时候我们可以使用SocksCap协助我们完成，具体步骤是：
　　1.安装SocksCap。
　　2.运行SocksCap,选择“文件”菜单中的“设置”，弹出“SocksCap 设置”对话框。
　　3.在“服务器/SOCKS 服务器”并填上127.0.0.1，“Port(端口)”填1080。
　　4.在“Protocol”里选择“SOCKS 版本 4”，在“域名解析”里选择“Resolve all names remote(远程解析)”。
　　5.单击“新建”按钮，在“标识项名称”中输入mstsc。
　　6.单击“浏览”按钮，找到MStsc.exe文件所在的位置即可。
　　7.单击“确定”按钮即可。
　　使用时，双击SocksCap列表中的mstsc图标，即可启动mstsc，mstsc访问网络都将通过代理跳板进行。需注重的是，一定要从SocksCap中启动mstsc，否则将不会使用代理跳板。其实很多不能设置的防火墙的Internet应用程序，都可以通过这种方式，实现Http通道的功能。
关键词：操作系统 Windows 防火墙 IT技术 即时通讯 QQ WindowsLiveMessenger 腾讯 技巧
责任编辑：张帅
All Rights Reserved, Copyright , .cn渝ICP证B2-号 如有意见请与我们联系 powered by 天极内容管理平台CMS4i
京公网安备84号君，已阅读到文档的结尾了呢~~
翻越不穿越 突破办公防火墙各种限制翻越,穿越,突破,翻越不穿越,不穿越,突破办公,防火墙限制,突破防火墙,防火墙,防火墙穿越
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
翻越不穿越 突破办公防火墙各种限制
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口