攻击包过滤防火墙的实践研究

2010-10-09林雪云

赤峰学院学报·自然科学版 2010年3期

关键词：福清数据包防火墙

林雪云

（福建师范大学福清分校数学与计算机系，福建福清 350300）

攻击包过滤防火墙的实践研究

林雪云

（福建师范大学福清分校数学与计算机系，福建福清 350300）

网络防火墙技术是基于保障网络信息安全的需要而产生，本文作者在网络信息安全教学过程中对绕过包过滤防火墙的网络攻击行为进行了具体的研究与实践，以此说明防火墙的不足处.

防火墙；网络攻击；dos攻击

1 引言

网络防火墙由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为.

目前具有代表的防火墙技术主要有：包过滤防火墙，应用代理防火墙，监测型防火墙，从三者的定义原理不难看出，包过滤防火墙技术的安全性是最差的，后面两种都相对安全得多.

因此通过实践研究包过滤防火墙的不足，以此加深对他的理解，是本文的重点.

2 网络上常见的攻击包过滤防火墙的技术

2.1 IP欺骗攻击技术

IP欺骗攻击技术，主要就是利用包过滤防火墙只能判断数据包的数据头这一缺点.只要修改数据包的源，目的地址和端口，模仿一些合法地址，例如将非法的数据报源地址改为内部网络地址，让包过滤防火墙认为此数据包是合法的，然后根据规则就放行了.这样攻击目的就达到了.

2.2 拒绝服务攻击技术

拒绝服务攻击即是DoS (Denial of Service)攻击.简单的包过滤防火墙不能跟踪TCP的状态，很容易受到DoS攻击：一旦防火墙受到DoS攻击.可使正在使用的计算机出现无响应、死机的现象，以达到攻击的目的①.这种攻击行为通过发送大量的带有虚假源地址的服务请求使网络服务器中充斥了大量要求回复的信息，并且无法释放请求资源，攻击者还会陆续的发出新的请求，在这种周而复始的攻击中，网络带宽或系统资源会被大量的消耗，直至网络或系统不胜负荷以至于瘫痪、停止正常的网络服务.

DOS/DDOS的攻击主要分为几个主要部分：1.攻击主机；2.主控端和代理端（也就是肉鸡）；3.受害主机或服务器.其攻击方法常用的软件有：同步洪流、死亡之PING、Ping洪流、TARGA 3、UDP攻击、OOB等.

2.3 UDP攻击

UDP攻击就是UDP Flood Attack淹没攻击，是导致基于主机的服务拒绝攻击的一种.当攻击者随机地向受害系统的端口发送UDP数据包的时候，就可能发生了UDP淹没攻击.当受害系统接收到一个UDP数据包的时候，它会确定目的端口正在等待中的应用程序.当它发现该端口中并不存在正在等待的应用程序，它就会产生一个目的地址无法连接的IcmP数据包发送给该伪造的源地址.如果向受害者计算机端口发送了足够多的UDP数据包的时候，整个系统就会瘫痪.

图1 U D P的攻击过程

3 UDP攻击实验

下面即是UDP攻击实验，可以清楚观察攻击的全过程，以此加深对包过滤防火墙的理解，主要运用了VM ware Workstation6.0.2和阿拉丁UDP攻击器2.1.VM是目前一款十分流行并且强大的是一款功能强大的桌面虚拟计算机软件.它可以在窗口状态下操作另外一台虚拟机，并对不同的操作系统进行开发、测试.阿拉丁UDP攻击器2.1是一款经典的UDP攻击软件，有四种攻击模式，十分适合进行UDP的模拟攻击.

3.1 实验过程

（1）在VM ware Workstation上安装虚拟机并进行设置，其中最重要的一步是选择网络连接，只有选择桥接的方式的网络连接才能够使虚拟机也能使用网络，设置完后生成的新的虚拟机

（2）进行网络设置：启动虚拟机后进入WindowPe，下一步进行网络设置，这是虚拟机连接网络还有和主机组成局域网的关键.点击启动网络支持后进行IP和DNS服务器的设置.如图所示虚拟机的IP为192.168.1.10.此时主机和虚拟机可以联通，组成局域网（主机IP为192.168.1.9），接着点击adsl宽带连接使虚拟机与外网联通，并测试是否与主机联通，执行ping192.168.1.9的命令.

（3）进行攻击：在主机上运行阿拉丁UDP攻击器2.1.图2为攻击前虚拟机的网络状态和系统状态，由图可知网络联通和系统状态良好.图3为攻击时的网络状态和系统状态，由图可知虚拟机与外网的连接已经断开，cpu的使用率也升高了.图4为停止攻击后的网络状态和系统状态，攻击停止后，系统和网络均恢复正常.