网络防火墙与防范溢出策略(解决方案)
“溢出”一直以来都是很多黑帽子黑客最常用(或者说是最喜欢用)的手段之一,随安全文化的逐步普及,大量的公开shellcode(“溢出”代码)与溢出攻击原理都可以随意在各大的网络安全网站中找得到,由此衍生了一系列的安全隐患...小黑黑使用它们来进行非法的攻击、恶意程序员使用它们来制造蠕虫等等...而网络_blank">防火墙作为人们最喜欢的网络安全“设施”之一,它又能如何“拦截”这一类型的攻击呢?这就是今天小神与大伙一起讨论的问题了。
写这篇烂文时小神粗略地翻了一下CIW SP的教科书,5、6章节详细的介绍了_blank">防火墙的种类、作用、优略点等,但没有提出关于使用_blank">防火墙来进行溢出防御的文章,这是为什么呢?大概是因为这样吧:目前大多的防火墙系统都是针对包过滤规则进行安全防御的,这类型的_blank">防火墙再高也只能工作在传输层,而溢出程序的she llcode是放在应用层的,因此对这类攻击就无能为力了。打个比方:前段时间比较火热的IIS WEBDAV溢出漏洞,若黑客攻击成功能直接得到ROOTSHELL(命令行管理员控制台),它是在正常提供HTTP服务的情况下产生的溢出漏洞,若在不打补丁与手工处理的情况下一台_blank">防火墙又能做到什么呢?相信你除了把访问该服务器TCP80端口(提供正常地HTTP服务的情况下)的包过滤掉以外就什么都不会去做了,当然,这样也会使你的HTTP服务无法正常地开放(等于没有提供服务...)。下面就让小神以这个漏洞为“论点&&题材”,说说自己的解决方案吧。
1)对希望保护的主机实行“单独开放端口”访问控制策略所谓“单独开放端口”就是指只开放需要提供的端口,对于不需要提供服务的端口实行过滤策略。打个比方,现在我们需要保护一台存在WebDAV缺陷的WEB服务器,如何能令它不被骇客入侵呢?答案是:在这台WEB服务器的前端_blank">防火墙中加入一个“只允许其他机器访问此机的TCP80端口”的包过滤规则(至于阁下的_blank">防火墙能否
实现这样的规则就另当别论了)。加上这个规则又会有怎样的效果呢?经常做入侵渗透测试的朋友应该比我还清楚远程溢出的攻击实施流程了吧?
①使用缺陷扫描器找到存在远程溢出漏洞的主机-》②确认其版本号(如果有需要的话)-》③使用exploit(攻击程序)发送shellcode-》④确认远程溢出成功后使用NC或TELNET等程序连接被溢出主机的端口-》⑤得到SHELL
使用“单独开放端口”策略的解决方案对整个远程溢出过程所发生的前三步都是无能为力的,但来到第四步这个策略能有效地阻止骇客连上有缺陷主机的被溢出端口,从而切断了骇客的恶意攻击手段。
优点:操作简单,一般的网络/系统管理员就能完成相关的操作。
缺点:对溢出后使用端口复用进行控制的EXPLOITS就无能为力了;对现实中的溢出后得到反向连接控制的EP LOITS也是无能为力;不能阻止D.o.S方面的溢出攻击。
2)使用应用层_blank">防火墙系统
这里所谓的应用层并不是想特别指明该_blank">防火墙工作在应用层,而是想指明它能在应用层对数据进行处理。由于应用层的协议/服务种类比较多,因此针对应用层形式的_blank">防火墙就有一定的市场局限性了。就楼上所提到的案例而言我们可以使用处理HTTP协议的应用层_blank">防火墙对存在WebDAV缺陷的服务器订制保护规则,保证服务器不收此类攻击的影响。应用层中的HTTP协议_blank">防火墙系统不多,其中比较出名的有EEYE公司的SecureIIS,其使用方式就可谓是“弱智型”了,说说它的基本防御原理与特点吧。当服务端接受到一个发送至TCP80端口的数据包时首先就会将该包转移至SecureIIS,SecureIIS就会对该包进行分析并解码该包的应用层数据,将得到的数据与你本身定制的规则进行数据配对,一旦发现条件相符饿数值就会执行规则所指定的相应操作。
优点:能有效地切断一些来自应用层的攻击(如溢出、SQL注入等)。
缺点:因为需要安装在服务器上,所以会占用一定的系统资源;(eeye公司本身并无开发该软件的中文版本,所以一旦它受到POST行为发出的中文数据时就会自动认为是高位攻击代码,自动将其隔离,并进行相关的处理操作)。
楼上的两种解决方法我比较推崇第二种,但其实还是有第三种解决方案的(大家不要或我为某产品卖广
告就好:)。
3)使用IDS功能的_blank">防火墙系统
现在国内自主开发的_blank">防火墙系统可谓是进入“白热化”了,什么百兆、千兆、2U、4U...性能参数的比较本已经日趋激烈了,再开始有不少厂商将技术重点转移在了“多功能”的方面上,在_blank">防火墙中继承IDS模块已经不是什么新鲜事了,使用这类产品可以达到监控应用层数据的效果。
优点:便于管理。
缺点:费用支出增大;长期需要人力资源对其进行管理与设施维护;_blank">防火墙上的IDS模块功能有限。
综合以上三种解决方案,希望有一种能为阁下提供反思的空间,也希望各位能为提出相应的建议与意
见,谢谢各位,需要与我联系请EMAIL至demonalex[at]demonalex.net。
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10新雨林木风 Windows10 x86 专业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活系统,无
相关文章
- word/wps怎么关闭显示剪贴板?
- 点点运动怎么发布动态?发布动态方法介绍
- 微信登录提示系统错误请重试怎么回事?如何解决?
- 微信怎样在Windows Phone上注册
- 如何用微信支付开通优酷会员 微信支付开通优酷会员的方式
- 拼多多怎么成为买菜团长?
- 高德地图活动奖金怎么提现到银行卡?
- yy语音不能说话话筒没有声音无法和队友通交流
- premiere怎么制作融化效果的视频?
- 腾讯手游助手黑屏,显示Unfortunately, LauncherEx has stopped的解决方法介绍
- 内存都去哪儿了?加速人生替您一键清理内存
- 微信公众平台怎么解除腾讯微博绑定(图文教程)
- 爱奇艺视频卡申请方法 爱奇艺视频卡官网申请地址
- 淘宝双十一理想金怎么使用?
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1深度技术 Windows 10 x86 企业版 电脑城装机版2020年12月(32位) ISO镜像免费下载
- 2深度技术 GHOSTXPSP3 电脑城极速装机版 2019年12月 ISO镜像高速下载
- 3番茄花园 Windows 10 极速企业版 版本1903 2021年4月(32位) ISO镜像快速下载
- 4新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2021年6月 ISO镜像高速下载
- 5笔记本&台式机专用系统 GhostWin7 32位元旦特别 旗舰版2021年1月(32位) ISO镜像免费下载
- 6新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2021年11月 ISO镜像高速下载
- 7新萝卜家园Ghost Win8.1 X64位 纯净版2020年9月(自动激活) ISO镜像高费下载
- 8新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2019年11月 ISO镜像高速下载7
- 9电脑公司工程师装机专用系统 Windows10 x86企业版2018年5月(32位) ISO镜像免费下载
- 10新萝卜家园GhostWin7 SP1电脑城极速装机版2018年4月(32位) 提供下载