谈网络黑客的攻击与防火墙的保护
时间:2020-09-19 07:56:33 来源:达达文档网 本文已影响 人 
摘要:本文阐述了Internet发展的同时,计算机用户的信息安全也不断受到了新的威胁;揭示了无保护措施的Internet连接可能面对的威胁;讨论了网络防火墙的保护功能;指出可以利用防火墙阻止有害的通信,并可以利用日志来跟踪被拒绝的连接,从而对黑客的攻击进行反击。
关键词:黑客攻击;防火墙;网络安全
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)14-20846-02
1 引言
如今,几乎每台个人计算机都直接或间接地连接到了Internet上,从而在恶意的黑客面前出现了许多的攻击目标。在无所不在的互联网出现之前,像病毒之类的恶意软件主要是通过用户之间共享被感染的软件来传播,而造成的危害也只限于使用被感染的文件的计算机。为有效的防止来自局域网外的恶意入侵者的攻击,需要使用网络防火墙。
本文将从以下的阐述中, 揭示无保护措施的Internet连接可能面对的威胁,讨论网络防火墙的保护功能, 指出可以利用防火墙阻止有害的通信,并可以利用日志来跟踪被拒绝的连接,从而对黑客的攻击进行反击。
2 网络黑客的攻击原理
网络黑客的许多攻击手段都是利用了服务器应用程序、客户端应用程序或操作系统的软件bug。绝大多数应用程序也都有bug。
绝大多数与bug相关的安全漏洞都是缓冲区溢出而造成的。当黑客向某个特定的输入字段发送的数据比程序所分配的空间大时,就会发生缓冲区溢出。例如,某个程序被设置成接收一个不超过256个字符长的URL。如果黑客发现了如何发送一个400个字符的“URL”,那么多余的字符可能会传入一段内存区域,而该程序会把这些多余的字符解释为需要执行的指令。黑客们通过检查程序代码(许多程序的源代码都是很容易得到的)来发现这种类型的漏洞,也可以简单地对程序接收输入的任何地方尝试溢出攻击。如果某次溢出导致程序崩溃,黑客也许就能够编写指令来完成其需要的操作,而不仅仅满足于使程序崩溃。一旦这类攻击成功,那么黑客就可以运行本地系统中的代码。
另外一种软件bug可能提供了无效输入的黑客进入程序内部。有的程序可以正确处理有效输入,但是遇到超出范围的输入是就会产生为题。黑客能够以类似于缓冲区溢出攻击的方式来利用这些bug。
但是,攻击者并不单纯依靠程序中的bug来进入Internet连接系统。没有安全配置的系统也很容易被攻破。作为文件服务器的系统可以对外暴露共享文件夹;其它类型的服务器也允许计算机访问(许多特洛伊木马程序都对攻击者可以连接到的服务器进行设置,以此来获得访问权)。攻击者常用的工具是端口扫描器——这种自动化的程序可以循环扫描数千个IP地址/端口组合来发现开放的端口(开放的端口指的是监听连接请求的端口)。
如果安全防护措施被禁用,这样的系统也可能会被攻击者利用。例如,在试图解决连接故障问题时,我们可能会把所有的限制去除,如NTFS权限、防火墙保护等。如果在解决问题后,忘记了恢复安全设置,那么攻击者就会发现这一隐患,实施攻击。
网络黑客的另一种攻击手段是拒绝服务攻击(Denial of Service, DoS),攻击者试图用大量的数据淹没计算机,从而使其崩溃。这种攻击方法并不能使攻击者访问受攻击计算机中的信息,但可以造成被攻击的计算机无法使用。DoS攻击中的数据包在某种程度上都有些畸形,会导致计算机在试图处理这些错误数据流时要耗用其所有资源。
拒绝服务攻击手段又出现新的变种──分布式拒绝服务攻击(Distributed Denial of Service, DDoS)。在DDoS中,攻击者会引导许多计算机(通常是以百台来计数)来对特定的某台计算机或网络发动协同式DoS攻击。
3 利用防火墙来阻止网络攻击
防火墙(Firewall)是在计算机和Internet提供屏障的程序或设备,可以通过配置合理的防火墙来防止网络黑客的攻击事件发生。防火墙还可以被用来隔离局域网中的计算机,以免受来自Internet的威胁。如果到达防火墙的数据包不满足所指定的条件,那么防火墙就阻止这些数据包进入局域网,但防火墙对于已授权的连接却是透明的。
3.1 数据包筛选
绝大多数防火墙都使用数据包筛选,防火墙可以根据每个到达的数据包中的内容来决定是阻止数据包还是允许它们通过。
用户可以在防火墙中配置数据包筛选规则,决定阻止还是允许来自或发往某个IP地址或端口的数据包通过。数据包筛选器检查每个数据包的一些属性,并且可以对其进行路由或阻止,这都取决于源地址、目标地址、网络协议、传输层协议、源端口和目标端口属性。
根据IP地址、端口和协议来阻止数据包的速度是非常快的,但是仅凭这些信息还不足以判断。在对某个目标端口(通常是某个有名的低端口号,端口号小于1024)建立TCP连接时,客户计算机会任意打开一个源端口号(源端口号的取值范围是在1023到16384之间)。我们当然不会希望在这个范围内的所有端口对传入的连接都处于开放状态,因为这对于攻击者来说是一个很大的目标。这就是状态检查数据包筛选出现的原因。
状态检查数据包筛选的工作过程:
(1)当在客户机的浏览器地址栏中输入一个URL后,浏览器发送一个或多个数据包,其目标地址是某个Web服务器。该请求本身含有HTTP指令。目标端口是80,这是HTTP Web服务器的标准端口;源端口在1023到16384之间。
(2)防火墙在其状态表中保存关于这次连接的信息,在验证返回的传入流量时,防火墙将用到这张状态表。
(3)Web服务器发送应答数据包,其目标地址是客户端计算机的IP地址和源端口。
(4)防火墙接收传入的流量,用传入的数据包中的源地址和目标地址以及端口号于状态表中的信息相比较。如果上述信息匹配,防火墙就允许应答信息穿过防火墙,到达浏览器。如果不是所有的数据项都匹配,防火墙就会丢弃该数据包。
3.2 应用程序筛选
更复杂的个人防火墙可以根据防火墙控制的数据流内容以及对病毒、恶意代码、ActiveX控件、Java小程序、Cookie等扫描的结果来进行筛选。此外更为重要的是,这些防火墙可以限制只有那些得到允许的程序才能对外连接。由为每个试图连接其它计算机的应用程序而配置的规则来决定连接是被允许还是拒绝。有些个人防火墙为常见的应用程序提供了预配置的规则。
绝大多数个人防火墙都提供了某种规则助手,使得用户更容易为其它应用程序来创建新规则。当启动某个应用程序,而又没有向其授予自动Internet访问的权限,防火墙就会出现提示消息,等待确定允许或阻止应用程序多Internet的访问。
因为防火墙控制所有通过特定网络连接的TCP/IP通信,所以如果在同一次连接中把计算机加入LAN和Internet中,防火墙可以阻止与网络上其它计算机的通信。为了使得到针对Internet的防护的同时还能够无拘无束地访问局域网,许多防火墙程序都使用了安全区域。即可以把局域网添加到可信任区域中。
对外连接筛选的一种有用的功能是防止计算机参与DDoS攻击。绝大多数防火墙都被配置成阻止那些被已知的DDoS工具所利用的端口。如果无意中安装了有特洛伊木马伪装的工具软件,带有对外应用程序筛选功能的防火墙就会阻止特洛伊木马的使用,除非明确地赋予其权限。
除了能阻止特洛伊木马程序以外,基于应用程序的对外筛选可以被用来防止“间谍软件”向其发布者报告信息。即使有些来自著名发布商的确实有用的软件也会自动返回信息。在防火墙中可以配置一条规则来阻止应用程序自动地将本地信息向应用程序的发布者发送。
3.3 使用硬件防火墙设备
局域网连接到Internet,可以使用硬件防火墙设备——也称为路由器、驻留网关和网络地址转换(NAT)设备。防火墙设备提供了对外部攻击的良好防护,并且对个人防火墙程序提供了有益的补充。
网络地址转换是防火墙设备在防护措施中添加的最有效的方法之一。NAT设备使用一个IP地址来与Internet通信,并且为网络中的每台计算机都分配一个私有地址范围内的IP地址。NAT设备将每个私有IP地址转换成其外部地址,从而不会把局域网中的计算机的IP地址暴露到Internet。
3.4 确定入侵者
防火墙对来自对计算机的攻击行为进行监控,防火墙的大部分的入侵行为警报是端口扫描,这些攻击企图通常都会被防火墙挫败。防火墙程序维护一个记录被阻止的连接和入侵企图的日志。我们可以利用日志来追踪入侵者。
知道了入侵者的IP地址,就可以使用Whois工具软件来发现入侵者的身份,通知入侵者的ISP阻止入侵。
3.5 配置Internet防火墙日志
对Internet防火墙日志进行配置,使他能够在日志文件中保存活动记录。日志对于安全审核以及调试来说是非常重要的。为了进行安全审核,可以查阅Internet连接防火墙日志, 查出Internet上的哪些IP地址对计算机进行过探测,在必要的时候可以对这些IP地址采取某些行动。
4 结束语
综上分析,网络黑客的攻击,利用了用户计算机系统的薄弱之处,系统中存在软件bug(系统漏洞)和疏忽的系统安全设置,如访问权限设置、端口开放设置和防火墙保护设置等。有效地防止来自局域网外的恶意入侵者的攻击,需要使用防火墙。在局域网和Internet之间设置网络防火墙, 有力地阻止了网络黑客的攻击和阻断信息泄漏。通过防火墙日志可以检测非法入侵的来源,进行有力的反击,阻断恶源。网路防火墙对计算机系统的信息安全起着重要作用。
参考文献:
[1] (美)John Chirillo著. 李宏平,等译. 黑客攻击防范篇[M].
[2] 李思齐,文洋. 防火之道──Internet安全构建深度应用[M].电子工业出版社,2006.
[3] 张千里, 陈光英. 网络安全新技术[M].人民邮电出版社,2003.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文
