關(guān)于網(wǎng)絡(luò)防火墻防范溢出策略分析

　　“溢出”一直以來都是很多黑帽子黑客最常用(或者說是最喜歡用)的手段之一，隨安全文化的逐步普及，大量的公開shellcode(“溢出”代碼)與溢出攻擊原理都可以隨意在各大的網(wǎng)絡(luò)安全網(wǎng)站中找得到，由此衍生了一系列的安全隱患...小黑黑使用它們來進(jìn)行非法的攻擊、惡意程序員使用它們來制造蠕蟲等等...而網(wǎng)絡(luò)防火墻作為人們最喜歡的網(wǎng)絡(luò)安全“設(shè)施”之一，它又能如何“攔截”這一類型的攻擊呢？

　　目前大多的防火墻系統(tǒng)都是針對(duì)包過濾規(guī)則進(jìn)行安全防御的，這類型的防火墻再高也只能工作在傳輸層，而溢出程序的shellcode是放在應(yīng)用層的，因此對(duì)這類攻擊就無能為力了。打個(gè)比方:前段時(shí)間比較火熱的IIS WEBDAV溢出漏洞，若黑客攻擊成功能直接得到ROOTSHELL(命令行管理員控制臺(tái))，它是在正常提供HTTP服務(wù)的情況下產(chǎn)生的溢出漏洞，若在不打補(bǔ)丁與手工處理的情況下一臺(tái)防火墻又能做到什么呢？相信你除了把訪問該服務(wù)器TCP80端口(提供正常地HTTP服務(wù)的情況下)的包過濾掉以外就什么都不會(huì)去做了，當(dāng)然，這樣也會(huì)使你的HTTP服務(wù)無法正常地開放(等于沒有提供服務(wù)...)。下面就以這個(gè)漏洞為“論點(diǎn)&題材”，說說自己的解決方案。

　　1)對(duì)希望保護(hù)的主機(jī)實(shí)行“單獨(dú)開放端口”訪問控制策略

　　所謂“單獨(dú)開放端口”就是指只開放需要提供的端口，對(duì)于不需要提供服務(wù)的端口實(shí)行過濾策略。打個(gè)比方，現(xiàn)在我們需要保護(hù)一臺(tái)存在WebDAV缺陷的WEB服務(wù)器，如何能令它不被駭客入侵呢？答案是：在這臺(tái)WEB服務(wù)器的前端防火墻中加入一個(gè)“只允許其他機(jī)器訪問此機(jī)的TCP80端口”的包過濾規(guī)則(至于閣下的防火墻能否實(shí)現(xiàn)這樣的規(guī)則就另當(dāng)別論了)。加上這個(gè)規(guī)則又會(huì)有怎樣的效果呢？經(jīng)常做入侵滲透測試的朋友應(yīng)該比我還清楚遠(yuǎn)程溢出的攻擊實(shí)施流程了吧？

　�、偈褂萌毕輶呙杵髡业酱嬖谶h(yuǎn)程溢出漏洞的主機(jī)-》②確認(rèn)其版本號(hào)(如果有需要的話)-》③使用exploit(攻擊程序)發(fā)送shellcode-》④確認(rèn)遠(yuǎn)程溢出成功后使用NC或TELNET等程序連接被溢出主機(jī)的端口-》⑤得到SHELL

　　使用“單獨(dú)開放端口”策略的解決方案對(duì)整個(gè)遠(yuǎn)程溢出過程所發(fā)生的前三步都是無能為力的，但來到第四步這個(gè)策略能有效地阻止駭客連上有缺陷主機(jī)的被溢出端口，從而切斷了駭客的惡意攻擊手段。

　　優(yōu)點(diǎn)：操作簡單，一般的網(wǎng)絡(luò)/系統(tǒng)管理員就能完成相關(guān)的操作。

　　缺點(diǎn)：對(duì)溢出后使用端口復(fù)用進(jìn)行控制的EXPLOITS就無能為力了；對(duì)現(xiàn)實(shí)中的溢出后得到反向連接控制的EPLOITS也是無能為力；不能阻止D.o.S方面的溢出攻擊。

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]