前言信息和网络安全技术历经十多年的发展,无论在广度,还是在深度上,都有了很大的进步,其中一个重要的研究趋势就是注重攻防结合,追求最大化的动态安全。网络的攻与防,即为矛与盾。然而,与此相关的信息安全方面的文章大多数却是从盾来入手的,也就是说从防御的角度来论述。作为网管员来说,他要学习信息安全知识的话,不仅需要了解防护方面的技术,也需要了解检测和相应环节的技术(就是矛)。无数实践表明,最大的不安全,恰恰就是自以为安全!因为,信息安全具有很强的对抗性,威胁时刻存在,各种各样的安全问题常会掩盖在表面的平静之下。有太多的古训,诸如“隐患险于明火”、“知己知彼,百战不殆”……对于今天的网络信息安全防御依然有借鉴意义。对于实施攻击的黑客手法的洞悉,对于自身脆弱性的意识,都是自身安全的前提。为帮助广大网管员了解网络攻击和防火墙的方方面面,本文作者将从攻防兼备的角度,尽可能将纷繁复杂、是似而非的攻防思路整理清晰,以飨广大网管员。防火墙的基础知识防火墙是由楔和门两类功能部件构成,典型的防火墙包括一外一内两个楔和夹在中间的一个门。楔通常由路由器承担,而门通常由相当简化了操作系统的主机承担。换言之,楔强制内部网络和外部网络之间的通信通过门进行,门则执行安全措施并代理网络服务;门与内外楔之间分别链接一个独立的子网,其中,外楔和门之间的子网可以有一个非军事区,这块可部署对外的网络服务如www、ftp、dns等等。内外楔应阻塞不希望穿越防火墙的所有网络服务的分组,目前有两类主导性的防火墙:应用代理和分组过滤网关,这同防火墙概念中的门和楔功能部件相对应,但实际上,完善的防火墙需要这两个部件的有机结合,而不是孤立的发挥作用。防火墙一般有两个以上的网卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制,示意图如下:││---路由器-----网卡│防火墙│网卡│----------内部网络││防火墙主要通过一个访问控制表来判断的,它的形式一般是一连串的如下规则:1acceptfrom+源地址,端口to+目的地址,端口+采取的动作2deny...........(deny是拒绝)3nat............(nat是地址转换)防火墙在网络层(包括以下的链路层)接收到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作,如丢弃包等。矛与盾的较量几千年前的孙子兵法就写道:不知彼而知己,一胜一负;不知彼,不知己,每战必殆。我们作为网络管理员,要做到能够检测并预防相应的攻击,就必须了解入侵者的手段,这样,我们才能有针对性的防范。我们知道,盗窃者在开始犯罪之前,必须完成三个基本的步骤:踩点、查点、行动。比如,有一个盗窃团伙决定抢银行的时候,他们会事先花大量时间去收集这家银行的信息,如武装押运车的路线和押送时间,摄像头的位置和范围,出纳员人数,逃跑路线一起其他任何有助于避免发生意外情况的信息。对于网络入侵者而言,也是一样的。他要入侵某个网络,事先也必须收集大量的信息──关于该机构的网络安全情况的各个方面的信息,如果不进行踩点就贸然攻击,这个行为简直就是愚蠢的,就好比径直走进银行开始要钱。只要想查,任何人都可以获取有关你的网络安全情况──其可用信息数量之多往往会超出你的想像!入侵防火墙的第一步就是查找和判断防火墙。然后就是进行攻击防火墙。踩点之直接扫描查找防火墙矛有些防火墙会在简单的端口扫描下原形毕露──防火墙有特定端口在监听──你只需要知道哪些端口应该去扫描,比如,CheckPoint的Firewall-1防火墙在256、257、258号的TCP端口监听,MicrosoftProxyServer2.0防火墙在1080、1745号TCP端口监听……只要知道每个防火墙监听的缺省端口,就可以用端口扫描软件来对特定缺省端口进行扫描来查找防火墙,如使用nmap[S1]程序来扫描:nmap-n-vv-P0-p256,1080,174510.152.1.1-60.254因为大多数防火墙不会对ICMP应答,所以上述命令加上了-P0选项来禁止ICMPping。其他端口扫描软件要视其说明文件来设置禁止ICMPping。不过,如...
