防火墙攻击技术之侦察技术

牙买加蓝山

      防火墙壁自开始部署以来已保护无数的网络躲过恶意的攻击，但它不是灵丹妙药，每种防火墙产品几乎年年都有安全脆弱点被发现。从设计到配置再到维护做的很好的防火墙几乎是不可能渗透的，所以大多数攻击者都采取尽最大的努力绕过防火墙。
      1、获取防火墙标识
几乎每种防火墙都会有其独特的电子特征，也就是说，凭借端口扫描和标识获取等技巧，攻击者就能确定几乎每个防火墙的类型和、版本和规则。攻击者之所以这样做是因为一旦标识出目标网络防火墙，攻击者就能确定它们的脆弱点，而确定攻击方法。
      通过直接扫描获取防火墙标识：
      查找防火墙最容易的方法是对特定的默认端口执行扫描。市场上有些防火墙会在简单的端口扫描下独特地标识自已，攻击者只需要知道应扫描那些端口。例如:CheckPoint 的 Firewall-1在256、257和258号TCP端口上监听，Microsoft 的 Proxy Sever 则通常在1080和1745号TCP端口上监听。掌握这一点后，使用像nmap这样的端口扫描程序来搜索这些类型的防火墙就轻而易举了。
    许多流行的防火墙只要简单的连接它们就会自己声明自己的存在。甚至许多代理性质的防火墙壁会声明它们的功能，有的还会通告自己的版本，例如，在21号端口（FTP端口）上使用netcat命令连接到一台可能是防火墙的主机时，返回的信息很有意思：
         C:>nc -v -n 192.168.51.129 21
         (UNKOWN)[192.168.51.129] 21 (?) open
         220 Secure Gateway FTP server ready.
这其中，Secure Gateway FTP server ready 标志是 Eagle Ravptor 防火墙的特征标志。再连接到它的23号端口（telnet)会返回：
         C:>nc -v -n 192.168.51.129 23
         (UNKOWN)[192.168.51.129] 23 (?) open
         Eagle Secure Gateway.
         Hostname:
这就证实了该防火墙名为“Eagle”。
     从上面的例子可以看出，标志信息在标识防火墙上能给攻击者提供有有的信息，使用权用这些信息就能发掘出防火墙的脆弱点或常见的配置错误。
     nmap 在探测防火墙信息上是个很好的工具。用nmap 扫描一台主机时，它会告知哪些端口打开或关闭，哪些端口被阻塞，从这些信息中就可以分析出防火墙壁的配置信息甚至访问控制规则。
     使用nmap  时被过滤掉的探测分组对应的端口表明以下三种事情之一.
     ·没有接收到SYN/ACK 分组。
     ·没有接收到RST/ACK 分组。
     ·接收到类型为 3 且代码为为 13 的分组。
       类型为 3 表示 Destination Unreachable,目的不可到达；代码为为 13 意思是 Communication Adminnistratively Prohibited ,通信被管理手段禁止。
     例如在扫描www.haiweucompay.com时接收到两个ICMP分组，告知防火墙把系统阻塞在23号和111号端口之外。
          C:>nmap -p20,21,23,53,80,111 -p0 -vv  220.181.6.19
          Starting nmap V.2.08 by Fyodor (fyodor@dhp.com,www.insecure.org/nmap/)
          Initiating TCP connect () scan against (220.181.6.19)
          Adding TCP port 53 (state Open)
          Adding TCP port 111 (state Firewalled)
          Adding TCP port 80 (state Open)
          Adding TCP port 23 (state Firewalled)
          Interesting ports on (220.181.6.19)
               Port         State        Protocol         Service
                23          filtered      tcp              telnet
                53          open          tcp              domain
                80          open          tcp              http
                111         filtered      tcp              sunrpc
  其中的“filtered”状态是接收到类型为3代码为13的ICMP分组.


      2、穿透防火墙进行扫描

      透过防火墙从而发现隐藏在防火墙后面的目标，这是黑客和入侵者梦寐以求的事。
      利用原始分组传送进行穿透防火墙扫描：hping是由Salvatore Sanfilippo编写的很优秀的工具，hping通过向一个目标端口发送TCP分组并报告由它引回的分组进行工作，依据多种条件，hping返回各种各样的响应，每个分组部分或全面的提供了防火墙具体访问控制的相当清晰的细节。例如，hping可以